Versie 3.0.6 van de browser plet in totaal zes kwetsbaarheden, waarvan eentje kritiek is en twee op de tweede rang van de Mozilla-risicoladder vertoeven. De update is gisteravond uitgebracht.

De 'kritieke' melding gaat over wat Mozilla 'meerdere stabiliteitsbugs in de browserengine' noemt. Deze kunnen worden uitgebuit om de browser tot stilstand te brengen. Daarbij kan het gebeuren dat het geheugen gecorrumpeerd wordt, wat de deur open zou zetten voor de uitvoer van willekeurige code. Specifiek zijn crashes geconstanteerd in de layoutengine en de javascriptengine. Daarmee kan Thunderbird kwetsbaar zijn voor dezelfde truc, mits javascript daar ingeschakeld staat voor mailtjes. Dat is overigens geen standaardinstelling. Tot de patch kan worden toegepast, adviseert Mozilla om javascript uit te schakelen in productieomgevingen.

In de 'hoog' categerie, het tweede gevaarniveau van in totaal vier op de schaal van Mozilla, zijn twee kwetsbaarheden verholpen. Een daarvan maakt het mogelijk om cross-site scripting (XSS) uit te voeren, terwijl in het tweede geval een truc bij het terughalen van tabjes een aanvaller toegang kan verschaffen tot lokale bestanden.

Bij 'moderate' staat een kwetsbaarheid waarbij weliswaar willekeurige code kan worden gedraaid, maar de aanvalshoek is dermate ingewikkeld dat de meeste hackers er niet aan zullen beginnen. De gebruiker moet niet een, maar twee bestanden downloaden en uitvoeren om de hacker enige grip te verschaffen. Bron: Techworld