Eerste update Firefox 3, zestiende voor FF2
Gepubliceerd: Woensdag 16 juli 2008
Auteur: Michiel van Blommestein
De eerste security update voor Firefox 3 komt vandaag uit. Mozilla heeft wel al een update uitgebracht voor de vorige versie van de browser.
Beide versies van de browser zien twee lekken gedicht worden die het label 'kritiek' hebben meegekregen. De eerste kwetsbaarheid zit in de CSSValue-structuur, welke kon worden gebruikt om de toepassing te crashen door in één keer heel veel verwijzingen te plaatsen naar een bepaald CSS-object. Vervolgens kunnen hackers willekeurige code uitvoeren. Tot de patch is geïnstalleerd, is het mogelijk om het risico te vermijden door JavaScript uit te schakelen.
Het tweede gedichte lek zit in het verwerken van de command line Uniform Resource Identifiers (URI) met het pipe-symbool. Via een ander browser konden de URI's worden doorgegeven aan Firefox, welke gegevens van de gehele harde schijf zou kunnen aanroepen. Daarmee zou het mogelijk zijn om de browser een bestand te laten openen, mits de hacker de locatie van de malware van tevoren kan 'raden' en het in de URI kan verwerken. De advisory noemt als voorbeeld om zo'n bestand te plaatsen de recent gepatchte Safari Tapijtbommethode.
De nieuwste versies zijn met de nieuwe patches Firefox 2.0.16 en 3.0.1. De eerste is al beschikbaar, de tweede komt in de loop van vandaag.
Bron: Techworld
