Szerző: Koi Tamás

2009. augusztus 04. 10:48:00

Három kritikus biztonsági javítás érkezett a Firefoxhoz

Hétfőn három biztonsági rést foltozott be böngészőjének különböző verzióiban a Mozilla, ebből kettő a Firefox korábbi, 3.0-s, egy pedig a június 30-án megjelent 3.5-ös főverziót érinti.

A Firefox 3.0.13-as verziójával két biztonsági javítás érkezett, mindkettő sebezhetőséget múlt héten, a Las Vegas-i Black Hat alkalmával hozták először nyilvánosságra. A két biztonsági rést a böngésző SSL (Secure Socket Layer) implementációjában fedezték fel -- a weboldalak titkosításáért felelős modul sérülékenysége révén a támadók felhasználói nevekhez és jelszavakhoz juthattak hozzá, illetve kártékony kódot tartalmazó, manipulált szoftverfrissítéseket juttathattak el a távoli számítógépre.

A Firefox legújabb, 3.5-ös verziója már a kezdetektől fogva védettséget élvez ettől a támadástól, a fejlesztők ugyanis ennél a változatnál a Network Security Services (NSS) egy újabb, biztonságosabb verzióját használták. Ettől függetlenül a Firefox 3.5-öt is frissíteni kellett, ezúttal azonban csak egy biztonsági rést foltoztak be a programozók.

A Firefox 3.5.2-ben csak a SOCKS5 proxykezelés sebezhetőségét javították, de ez a biztonsági rés is csak \"alacsony\" veszélyességi fokozatot érdemelt a Mozilla saját osztályozása szerint, mivel nem egyértelmű, hogy a hiba lehetővé teszi a jogosulatlan adatmódosítást. A hibajavítás kapcsán a Computerworld felhívja a figyelmet, hogy ugyanezt a biztonsági rést a Firefox 3.0-s verziójában már az előző, július 21-én kiadott frissítési csomagban már javították, azaz a hibáról vélhetően hetek óta tudnak a Mozillánál.

A Firefox 3.5-ös verziója június 30-án érkezett meg, az első hibajavítás pedig július 18-án készült el. A múlt hónapban megjelent első frissítés a sebezhetőségek mellett kijavította azt az NSS hibás implementálásából eredő bugot is, mely miatt a böngésző több felhasználónál hosszú másodpercek elteltével volt csak hajlandó elindulni.

a címlapról