Firefox 3.0.9 pakt lekke engines aan
Gepubliceerd: Woensdag 22 april 2009
Auteur: Michiel van Blommestein
Mozilla heeft in totaal twaalf lekken gedicht in Firefox. Vier van de lekken zijn als kritiek aangemerkt, dat is de hoogste sport van de gevarenladder die Mozilla aanhoudt.
De lekken zijn uitgesmeerd over negen beveiligingsberichten en worden verholpen met de gisteravond vrijgegeven 3.0.9 update, de derde update van dit jaar. Twee lekken in de browserengine en twee in de JavaScriptengine maken het volgens Mozilla mogelijk om de browser te laten crashen, en daarmee wellicht ook om willekeurige code te laten draaien.
Naast die kritieke lekken, had de browser voor versie 3.0.9 te kampen met een lek die het mogelijk maakt om met behulp van Adobe Flash een xss-nepsite op poten te zetten. Samen met een kwetsbaarheid die het uitvoeren van een willekeurige JavaScript via een geprepareerd document faciliteert is deze aangemerkt als 'Hoog' op Mozilla's kritieke schaal.
Fixes voor lekken in het jar-schema en in de manier waarop servers met de refresh header omgaan zijn aangemerkt als gemiddeld. Een spoofing-lek, xss via style sheets, mogelijkheid tot kwaadaardige plugins en verkeerd verstuurde Post-data maken het rijtje compleet.
Tegelijk met de update voor de browser zijn ook patches beschikbaar gesteld voor Thunderbird (2.0.0.22) en SeaMonkey (1.1.16). Voor later deze week wordt ook de vierde bèta verwacht van Firefox 3.5, de versie die eerst als nummer 3.1 door het leven ging. Die bèta had vorige week al moeten verschijnen, maar is vertraagd.
Bron: Techworld
