Mozilla har sluppet en ny versjon av sin nettleser. Firefox 36 fortsetter prosessen med migrasjon fra 1024 RSA Keys, lapper mer enn 16 sårbarheter og også integrerer sikkerhetsfikser fra alle sikkerhetsnivåer. Som et resultat av den nye versjonen av Firefox, utvikleren klart å forholde seg til to mindre vesentlige feil, med seks sårbarheter med moderat risiko og med seks høy alvorlighetsgrad sårbarheter.
Kritiske sikkerhetsproblemer
Den nye versjonen patcher mer enn 16 sårbarheter, hvor tre av dem er av en høyere risiko i tilfelle utnyttes riktig. I ett av tilfellene posten fikk så mange som ti minne sikkerhets bugs. Disse minnerelaterte feil ble oppdaget av Mozilla utviklere og medlemmer av lokalsamfunnet som også bidro til fastsettelse av problemet.
Paul fond, en sikkerhetsforsker, rapportert sikkerhetsproblem i nettleseren som kan føre til en potensielt utnyttes krasj. Som krasjer kan utløses når brukeren kjører en bestemt web-innhold gjennom grensesnittet for IndexedDB å lage en indeks.
Buffer overflow er en annen kritisk sårbarhet fra reparasjoner listen over Firefox 36. Det ble utløst i biblioteket etter å ha spilt en MP4 video som ikke er gyldig. Resultatet er anvendelse av tilstrekkelig store innhold buffer, fører til en krasj som kan utnyttes av en angriper.
Svært høye sikkerhetsrisikoer
Sikkerhetsproblemene som har mindre ødeleggende potensial skjul i seg selv en som gjør det mulig for angripere å hente ut informasjon om brukeren fra en lesbar fil som er lagret i en kjent lokal bane. Som utnytter slått mulig med brukermedvirkning ved manipulering av autofullfør-funksjonen. På den måten den lokale filen forblir usynlig, men dens innhold blir levert om Document Object Model.
Nettleseren oppdatering komponent, som avslørt av en sikkerhetsforsker, lastet DLL-filer fra Windows midlertidige kataloger (Linux og OS X – ikke berørt) eller fra den lokale arbeidsmappen, og også fra poserer en ondsinnet fil.
Utviklerne av Mozilla også gjort innsats i å fjerne en out-of-bounds skrive som skjer når en SVG bildefil som er feil formatert er gjengitt, som som ville tillate den potensielle angriper å få tilgang til og å lese initialisert minne.
De sikkerhetsforskere oppdaget enda en feil – en bufferunder tilstand, som opprettes når en dårlig formatert MP3 lydfil spilles. Dersom svikt er klarer å utnytte, dette gjør at deler av Firefox minne til å bli integrert i en MP3-stream, som er tilgjengelig for skript på en ondsinnet side.
Brukere bør være klar over at den fullstendige listen over sikkerhets glitches som er reparert av den nye versjonen Firefox 36 kan bli funnet på sikkerhetsveiledningen side av Mozilla nettleseren.