Firefoxissa 10 kriittistä aukkoa ja turvauudistus
4
Mozilla-säätiö on julkaissut uudet korjatut versiot Firefox-selaimista. Päivitykset tukkivat kymmenen kriittistä turva-aukkoa. Lisäksi Firefoxiin lisätään uudenlainen turvatekniikka, joka voi suojata niin sanotuilla clickjacking-hyökkäyksiltä.
Päivitykset korjaavat Firefoxin lisäksi ongelmia Thunderbird-sähköpostiohjelmassa ja Seamonkey-ohjelmistopaketissa. Kymmenen kriittisen turva-aukon lisäksi korjataan viisi vähemmän vaarallista aukkoa.
Uusin Firefox versio on nyt Firefox 3.6.9. Myös Firefox 3.5-selaimesta julkaistiin korjattu versio Firefox 3.5.12.
Turvaa clickjacking-hyökkäyksiä vastaan
Firefox 3.6:een esiteltiin uusi turvatekniikka, jonka nimi on X-Frame-Options. Sen avulla nettisivujen kehittäjät voivat estää sivujensa esittämisen kehyksissä toisten nettisivujen sisällä.
Rikolliset käyttävät kehyksiä niin sanotuissa clickjacking-hyökkäyksissä. Rikollinen uskottelee uhrille, että hän on jollain tietyllä nettisivulla. Todellisuudessa uhri onkin rikollisen sivuilla, ja oikean sivun sisältö vain haetaan rikollissivustolla olevaan kehykseen.
Kun uhri käyttää nettisivua, rikollinen voi samalla seurata näppäimistöjen painalluksia, ja varastaa käyttäjätunnuksia ja salasanoja.
X-Frame-Options ei poista ongelmaa kokonaan, sillä monissa palveluissa halutaankin, että sivujen sisältöä voi viedä muihin palveluihin. Uusi turvatekniikka sopii kuitenkin monille nettisivustoille, ja se voi parantaa Firefox-käyttäjien turvaa.
