Mozilla heeft een nieuwe versie van zijn webbrowser uitgebracht. Firefox 36 zet het proces van migratie van 1024 RSA-sleutels, pleisters meer dan 16 kwetsbaarheden en ook integreert beveiligingsfixes van alle veiligheidsniveaus. Als gevolg van de nieuwe versie van Firefox, de ontwikkelaar erin geslaagd om te gaan met twee minder belangrijke gebreken, met zes kwetsbaarheden van matig risico en met zes zeer ernstige kwetsbaarheden.
De kritische beveiligingslekken
De nieuwe versie van patches meer dan 16 kwetsbaarheden, waar drie van hen zijn van een hoger risico in geval behoorlijk uitgebuit. In één van de gevallen kregen de ingang maar liefst tien geheugen veiligheid bugs. Deze-geheugen gerelateerde bugs werden ontdekt door Mozilla-ontwikkelaars en de leden van de gemeenschap die ook bijgedragen aan de vaststelling van het probleem.
Paul fonds, een security-onderzoeker, gemeld beveiligingslek in de browser die zou kunnen leiden tot een potentieel exploiteerbare crash. Dat crash kon worden geactiveerd zodra de gebruiker een specifieke web content via de interface van IndexedDB om een index te maken loopt.
De buffer overflow is een kritieke kwetsbaarheid in de lijst met reparaties van Firefox 36. Het werd geactiveerd in de bibliotheek na het spelen van een MP4-video, die is niet geldig. Het resultaat is de toewijzing van de onvoldoende grote inhoud buffer, wat leidt tot een crash die kunnen worden uitgebuit door de aanvaller.
Zeer Hoge Veiligheid Risico's
De beveiligingsproblemen die minder schadelijk potentieel verbergen in zichzelf één waarop de aanvaller om informatie over de gebruiker vanuit een leesbaar bestand dat is opgeslagen op bekende lokaal pad. Dat exploit mogelijk bleek met interactie met de gebruiker door manipulatie van de auto-complete functie. Op die manier blijft het lokale bestand onzichtbaar, Maar de inhoud ervan wordt geleverd hoewel het Document Object Model.
De web browser updaten component, zoals blijkt uit een security-onderzoeker, geladen DLL-bestanden van de Windows tijdelijke directories (Linux en OS X – niet beïnvloed) of van de lokale werkmap, en ook van het stellen van een kwaadaardig bestand.
De ontwikkelaars van Mozilla ook inspanningen in het verwijderen van een out-of-bounds schrijven dat zich voordoet wanneer een SVG-beeldbestand dat onjuist is geformatteerd is gerenderd, als dat zou toelaten de potentiële aanvaller om toegang te krijgen tot en met de niet-geïnitialiseerd geheugen gelezen.
De security onderzoekers ontdekten nog een andere fout – een bufferonderloop conditie, dat is gemaakt als een slecht opgemaakte MP3 audio bestand wordt afgespeeld. Als de glitch met succes wordt uitgebuit, Dit maakt het mogelijk delen van de Firefox-geheugen worden geïntegreerd in een MP3-stroom, die toegankelijk zijn voor scripts op een kwaadaardige pagina is.
Gebruikers moeten zich ervan bewust dat de volledige lijst van de veiligheid glitches die worden hersteld door de nieuwe versie van Firefox 36 is te vinden op de beveiligingsadvies pagina van Mozilla-browser.