מוזילה פרסמה גרסה חדשה של דפדפן האינטרנט שלה. פיירפוקס 36 ממשיך תהליך של הגירה מן 1024 מפתחות RSA, טלאים יותר 16 פגיעויות וגם משתלבים תיקוני אבטחה מכל רמות האבטחה. כתוצאה מכך מהגרסה החדשה של פיירפוקס, המפתחים הצליחו להתמודד עם שני פחות פגמים משמעותיים, עם שש נקודות תורפה של סיכון בינוני ועם שש פגיעויות חומרה גבוהות.
נקודות התורפה הקריטית
מדבקות הגרסה החדשות יותר 16 נקודות תורפה, איפה שלושה מהם הם בעלי סיכון גבוה יותר במקרה לנצל כראוי. באחד המקרים הכניסה יש רבים ככל באגים בטיחות זיכרון עשר. באגים זיכרון הקשורות האלה התגלו על ידי מפתחי מוזילה ואת חברי הקהילה אשר תרמו גם מקביעת הבעיה.
פול קרן, חוקר אבטחה, פגיעות דיווחו בדפדפן שיכול להוביל להתרסקות שניתן לנצל. זה התרסקות יכולה להיות מופעלת פעם שהמשתמש מפעיל תוכן אינטרנט ספציפי באמצעות הממשק של שהתווסף לאינדקס ליצור אינדקס.
הגאות העולה על גדותיה החיץ עוד נקודת תורפה קריטית מרשימת התיקונים של פיירפוקס 36. זה הופעל בספרייה לאחר להפעיל סרטון MP4 כי הוא לא תקף. התוצאה היא הקצאה למאגר התוכן הגדול מספיק, מוביל התרסקות שעלולה להיות מנוצלת על ידי התוקף.
סיכוני אבטחה גבוהים מאוד
פרצות האבטחה שיש פחות להסתיר פוטנציאל מזיק בעצמם אחד המאפשר התוקף כדי לחלץ מידע על המשתמש מקובץ קריא המאוחסן בנתיב מקומי ידוע. המנצלים פנתה אפשרי עם אינטראקציה עם המשתמש על ידי מניפולציה של תכונת ההשלמה האוטומטית. ככה את הקובץ המקומי נותר בלתי נראה, אולם תוך מועברים על פי מודל אובייקט המסמך.
מרכיב עדכון דפדפן האינטרנט, כפי שנחשף על ידי חוקר אבטחה, קבצי DLL טעונים מן הספריות הזמניות Windows (לינוקס ו- OS X – לא מושפע) או מתיקיית העבודה המקומית, וגם, יוצב קובץ זדוני.
המפתחים של מאמצים גם עשו מוזילה בהסרת out-of-גבולות לכתוב שמתרחש כאשר קובץ תמונת SVG כי אינו מעוצב כהלכה הוא שניתנו, כפי שיאפשר הפורץ הפוטנציאלי לקבל גישה וכדי לקרוא את זיכרון לא מאותחל.
החוקרים גילו הביטחון עדיין פגם אחר – מצב underflow חיץ, אשר נוצר כאשר קובץ אודיו MP3 קשה מעוצב משוחק. אם התקלה מנוצלת בהצלחה, זה מאפשר חלקי של הזיכרון Firefox להשתלב זרם MP3, נגיש סקריפטים בדף זדוני.
משתמשים צריכים להיות מודעים לכך את הרשימה המלאה של תקלות אבטחה מתוקנות על ידי הגרסה החדשה לפיירפוקס 36 ניתן למצוא בדף המייעץ האבטחה של דפדפן Mozilla.