Mittava päivityspaketti Firefoxille ja kumppaneille
0
Mozilla on julkaissut laajan päivityspaketin, jolla korjataan 18 haavoittuvuutta. Niitä on löydetty Firefoxista, SeaMonkeysta ja Thunderbirdistä. Firefoxin korjaukset koskevat selaimen kaikkia kolmea tuoreinta versiota.
Osa haavoittuvuuksista on luonteeltaan sellaisia, että niitä hyväksi käyttämällä voi olla mahdollista suorittaa hyökkääjän omaa ohjelmakoodia kohdejärjestelmässä. Joidenkin kautta voidaan urkkia selaimen automaattisen täydennystoiminnon tallentamia syötteitä. Eräät taas antavat hyökkääjälle mahdollisuuden korottaa itsensä koneen pääkäyttäjäksi.
Jotkut haavoittuvuuksista on luokiteltu kriittisiksi. Varsin monet liittyvät muistin käsittelyyn. Firefoxin 4.0-versiossa oli jo korjattu muutama turva-aukko, jotka nyt korjataan myös vanhempiin julkaisuihin. Tällainen on esimerkiksi selaimen Mac OS X -versioiden mukana toimitetussa Java Embedding Pluginissa (JEP), jolla hyökkääjä voi saavuttaa järjestelmän pääkäyttäjän oikeustason.
Haavoittuviksi ohjelmistoversioiksi Cert-fi luettelee nämä:
- Firefox 4 ennen versiota 4.0.1
- Firefox 3.6 ennen versiota 3.6.17
- Firefox 3.5 ennen versiota 3.5.19
- SeaMonkey ennen versiota 2.0.14
Thunderbirdiä ei siis tässä luettelossa ole, mutta samojen muistinkäsittelyyn liittyvien aukkojen todetaan lymyävän siinäkin. Päivitykset saa käyttöönsä vaivattomammin sovellusten omilla päivitystyökaluilla.
