Firefox 3.5.4 záplatuje rekordních 11 děr
Že šotek nechodí po horách, ale po webech, dosvědčuje česká verze stránek Firefoxu. Podle ní bychom tu měli zatím poslední verzi 3.5.4 již od 31.12.1969, to mnoho z vás ještě nebylo na světě. Faktem je, že od úterka tu opravdu nová verze je, takže se podívejme, co je nového. Opraveny byly některé záležitosti kolem stability, opět se objevuje možnost posílat hlášení o chybách a po vymazání nedávné historie některé stránky zabezpečené pomocí SSL nezobrazovaly bez opětovného načtení všechny obrázky a styly. No a pak tu jsou záplaty ...
Je jich celkem 11, což je v trojkové řadě zatím nejvíce, dvě mají nízkou nebezpečnost, tři střední a šest je kritických. Mezi kritické patří porušení paměti, které bylo v některých případech provedeno za účelem spuštění kódu útočníka, další nebezpečí zalepili výměnou některých knihoven třetích stran (liboggz, libvorbis, liboggplay). Třetí kritickou chybu odhalili v Secunia Research a představuje nebezpečí v podobě klasického přetečení zásobníku, tentokrát při převodu na číslo s pohyblivou čárkou, pak je tu ještě zvýšení práv v XPCVariant::VariantDataToJS(), další přetečení zásobníku v GIF parseru (nevztahuje se na aplikace postavené na engine Gecko 1.8, jako je třeba Thunderbird 2) no a poslední kritická chyba byla objeveno na javascriptových webech, kde mohlo dojít k vytvoření souboru objektů, jejichž paměť mohla být uvolněna ještě před jejich použitím, což často vede k pádu, kterého ale potenciálně může využít útočník ke spuštění „závadného“ kódu.
Z dalších je tu třeba dost teoretická možnost spuštění souboru v Download manageru (nízké nebezpečí) nebo nebezpečí vykrádání informací z historie (střední nebezpečí). Celý seznam opravených chyb najdete na obvyklém místě.
Zdroje:
