Mozilla a publié une nouvelle version de son navigateur web. Firefox 36 continue le processus de migration à partir 1024 Clés RSA, plus de patches 16 vulnérabilités et intègre également des correctifs de sécurité de tous les niveaux de sécurité. En conséquence de la nouvelle version de Firefox, le développeur a réussi à faire face à deux défauts moins importants, avec six vulnérabilités de risque modéré et avec six vulnérabilités de gravité élevés.
Les vulnérabilités
Les nouvelles versions des correctifs plus 16 vulnérabilités, où trois d'entre eux sont d'un risque plus élevé en cas exploitée correctement. Dans l'un des cas l'entrée a moins de dix insectes de sécurité de la mémoire. Ces bogues liés à la mémoire ont été découverts par les développeurs de Mozilla et les membres de la communauté qui a également contribué à la fixation du problème.
Paul fonds, un chercheur en sécurité, vulnérabilité signalée dans le navigateur qui pourrait conduire à un accident potentiellement exploitables. Cet accident pourrait être déclenchée dès que l'utilisateur exécute un contenu Web spécifique via l'interface de IndexedDB pour créer un index.
Le débordement de tampon est une autre vulnérabilité critique dans la liste des réparations de Firefox 36. Il a été déclenchée dans la bibliothèque après avoir joué une vidéo MP4 qui ne est pas valable. Le résultat est l'attribution de la insuffisamment grande mémoire tampon contenu, conduisant à un accident qui pourrait être exploité par l'attaquant.
Des risques très élevés de sécurité
Les vulnérabilités qui ont moins dommageable masquer potentiel en eux-mêmes celui qui permet à l'attaquant d'extraire des informations sur l'utilisateur à partir d'un fichier lisible qui est stocké dans un chemin local connu. Qui exploitent tourné possible avec interaction de l'utilisateur par la manipulation de la fonctionnalité de saisie semi-automatique. De cette façon, le fichier local reste invisible, mais son contenu est fourni si le Document Object Model.
La composante de mise à jour du navigateur Web, comme révélé par un chercheur en sécurité, fichiers DLL chargées de les répertoires temporaires de Windows (Linux et OS X – pas affecté) ou à partir du dossier de travail local, et aussi de poser un fichier malveillant.
Les développeurs de Mozilla efforts ont également pris en retirer un géant hors-écrivent que se produit quand un fichier image SVG qui est mal formaté est rendu, car cela permettra à l'attaquant potentiel pour obtenir l'accès et à lire la mémoire non initialisée.
Les chercheurs en sécurité ont découvert une autre faille – une condition de débordement de la mémoire tampon, qui est créé quand un fichier audio MP3 mal formaté est joué. Si le glitch est exploitée avec succès, ce qui permet des parties de la mémoire de Firefox pour être intégrées dans un flux MP3, qui est accessible à son exécution sur une page malveillante.
Les utilisateurs doivent être conscients que la liste complète des défauts de sécurité qui sont réparés par la nouvelle version de Firefox 36 peut être trouvé sur la page de l'avis de sécurité de Mozilla navigateur.