Обновление Firefox и Seamonkey с исправлением уязвимостей

Доступны корректирующие выпуски Firefox 3.5.9, 3.0.19 и Seamonkey 2.0.4, в которых устранено 11 уязвимостей, из которых 8 имеют критическую степень опасности. Кроме уязвимостей в Firefox 3.5.9 и Seamonkey 2.0.4 исправлено большое количество ошибок, связанных со стабильностью работы, например, в Firefox исправлено 56 ошибок, а в Seamonkey отмечено более 100 изменений.

Выпуск Firefox 3.0.19 является последним в ветке 3.0. Пользователям рекомендуется перейти к использованию ветки Firefox 3.6, так как подготовка обновлений для ветки 3.0 прекращена.

Отдельно можно отметить публикацию обновленных данных о релизе Firefox 3.6.2, вышедшем неделю назад. Интересно то, что при анонсе на прошлой неделе в списке устраненных в Firefox 3.6.2 проблем значилась только одна критическая уязвимость, а теперь данных список дополнен и в нем присутствует уже 18 (!) проблем безопасности из которых 9 отмечены как критические.

Большинство из исправленных уязвимостей были представлены в рамках соревнования по взлому популярных web-браузеров TippingPoint Zero Day Initiative, проводимого ежегодно на конференции Pwn2Own. Из исправленных в новых версиях опасных уязвимостей можно отметить:

  • MFSA 2010-11, MFSA 2010-16: пять ошибок, связанных с возможностью повреждения областей памяти, что может быть потенциально использовано для организации выполнения кода злоумышленника с правами текущего пользователя;
  • MFSA 2010-17: использование в XUL обработчике nsTreeSelection буфера после освобождения закрепленной за ним памяти может привести к организации выполнения кода злоумышленника;
  • MFSA 2010-18: при подстановке элементов "option" в XUL-дерево "optgroup" при определенном стечении обстоятельств указатели на обработчики элементов остаются после их удаления и могут быть вызваны, что дает возможность использовать ошибку для организации выполнения кода на стороне клиента;
  • MFSA 2010-19: ошибка в реализации объекта window.navigator.plugins может быть использована для выполнения кода злоумышленника, из-за обращения по указателю на плагин, после его удаления.
  • MFSA 2010-20: техника организации выполнения JavaScript-кода с привилегиями "chrome" (общий контекст браузера);

В заключение можно упомянуть выход пакета Jetpack SDK 0.2, содержащего в себе набор инструментов для упрощения разработки Jetpack-дополнений для Firefox. В состав SDK входит набор библиотек, утилиты командной строки и первый прототип среды разработки FlightDeck IDE, основанной на кодовой базе проекта Bespin.

© OpenNet