Mozilla lançou uma nova versão do seu navegador. Firefox 36 continua o processo de migração do 1024 RSA Chaves, manchas mais de 16 vulnerabilidades e também integra correções de segurança de todos os níveis de segurança. Como resultado da nova versão do Firefox, o desenvolvedor conseguiu lidar com duas falhas menos significativos, com seis vulnerabilidades de risco moderado e com seis vulnerabilidades de alta gravidade.
As vulnerabilidades críticas
Os novos patches versão mais do que 16 vulnerabilidades, onde três deles são de maior risco em caso explorado adequadamente. Em um dos casos, a entrada tem até dez erros de segurança da memória. Estes erros relacionados à memória foram descobertos por desenvolvedores Mozilla e os membros da comunidade que também contribuíram para a fixação do problema.
Paul fundo, um pesquisador de segurança, vulnerabilidade reportada no navegador que pode levar a um acidente potencialmente explorável. Esse acidente poderia ser acionado quando o usuário executa um conteúdo web específica por meio da interface de IndexedDB para criar um índice.
O estouro de buffer é outra vulnerabilidade crítica a partir da lista de reparos Firefox 36. Foi desencadeada na biblioteca depois de jogar um vídeo MP4 que não é válido. O resultado é atribuição da suficientemente grande buffer conteúdo, levando a uma falha que pode ser explorada pelo atacante.
Um risco muito elevado de segurança
As vulnerabilidades que têm potencial hide menos prejudicial em si um que permite que o invasor para extrair informações sobre o usuário de um arquivo legível que é armazenado em um caminho local conhecido. Que exploram virou possível com interação com o usuário através de uma manipulação do recurso de auto-completar. Dessa forma, o arquivo local permanece invisível, no entanto o seu conteúdo é entregue embora o Document Object Model.
O componente de atualização do navegador web, como foi revelado por um pesquisador de segurança, arquivos DLL carregados dos diretórios temporários do Windows (Linux e OS X – não afetado) ou a partir da pasta de trabalho local, e também representem um arquivo malicioso.
Os desenvolvedores do Mozilla também feitos esforços na remoção de um out-of-bounds escrever que está ocorrendo quando um arquivo de imagem SVG que está formatada incorretamente é processado, como que permitiria que o atacante potencial para ter acesso aos e para ler a memória não inicializada.
Os pesquisadores de segurança descobriram ainda outra falha – uma condição underflow tampão, que é criado quando um arquivo de áudio MP3 mal formatado é jogado. Se a falha for explorada com sucesso, isto permite que partes da memória Firefox para ser integrado numa sequência MP3, que é acessível para os scripts em uma página maliciosa.
Os usuários devem estar cientes de que a lista completa de falhas de segurança que são reparados pela nova versão do Firefox 36 podem ser encontrados na página de alerta de segurança do navegador Mozilla.