Mozilla har släppt en ny version av sin webbläsare. Firefox 36 fortsätter processen av migration från 1024 RSA-nycklar, plåster mer än 16 sårbarheter och även integrerar säkerhetsfixar från alla säkerhetsnivåer. Som ett resultat av den nya versionen av Firefox, utvecklaren lyckats ta itu med två mindre betydande brister, med sex sårbarheter i måttlig risk och med sex höga svårighetsgrad sårbarheter.
De kritiska sårbarheter
De nya versionen patchar mer än 16 sårbarheter, där tre av dem är av en högre risk i fall utnyttjas på rätt sätt. I ett av fallen har trätt fick så många som tio minnessäkerhets buggar. Dessa minnesrelaterade fel upptäcktes av Mozilla utvecklare och samhällsmedlemmar som också bidragit till fastställandet av problemet.
Paul fond, en säkerhetsforskare, rapporterade sårbarhet i webbläsaren som kan leda till en potentiellt exploateras krasch. Det krasch kan utlösas när användaren kör ett specifikt webbinnehåll genom gränssnittet för IndexedDB att skapa ett index.
Den buffertspill är en annan kritisk sårbarhet i listan över Firefox reparationer 36. Den utlöstes i biblioteket efter att ha spelat en MP4 video som inte är giltig. Resultatet är fördelningen av otillräckligt stora innehålls buffert, vilket leder till en krasch som kan utnyttjas av angripare.
Mycket hög säkerhet Risker
De sårbarheter som har mindre skadliga potential gömma i sig en som gör det möjligt för angripare att extrahera information om användaren från en läsbar fil som lagras i en känd lokal sökväg. Som utnyttjar vände möjligt med användarinteraktion genom manipulation av funktionen Komplettera automatiskt. På så sätt den lokala filen förblir osynlig, men dess innehåll levereras även Document Object Model.
Webbläsaren uppdateringskomponent, vilket framgår av en säkerhetsforskare, laddade DLL-filer från Windows temporära kataloger (Linux och OS X – påverkas inte) eller från den lokala arbetsmappen, och även från utgöra en skadlig fil.
Utvecklarna av Mozilla också gjort ansträngningar för att ta bort en out-of-bounds skriver som sker när en SVG bildfil som felaktigt är formaterad återges, eftersom det skulle göra det möjligt för potentiella angripare att få tillgång till och läsa oinitierad minnes.
Forskarna säkerhets upptäckt ännu ett fel – en buffertbottningstillstånd, som skapas när en dåligt formaterad MP3 ljudfil spelas. Om glitch framgångsrikt utnyttjas, detta tillåter delar av Firefox minne för att integreras i en MP3-ström, som är tillgänglig för skript på en skadlig sida.
Användare bör vara medvetna om att en fullständig lista över säkerhets glapp som repareras av den nya versionen Firefox 36 kan hittas på säkerhetsmeddelande sidan av Mozilla.