Firefox 2.0.0.8 emenda dez furos da segurança
Severidade: Meio
19 outubro, 2007
Sumário:
Ontem atrasado, a fundação de Mozilla liberou um update para reparar dez vulnerabilities da segurança em Firefox 2.0.0.7, para Windows, Linux, e Macintosh. Se um de seus usuários de Firefox visitasse um Web page malicioso, um atacante poderia explorar o mais mau destes vulnerabilities executar o código no computador do seu usuário, com os privilégios do seu usuário, ganhando possivelmente o controle completo do computador. Se você funcionar Firefox em qualquer plataforma, você deve download e desdobrar a versão 2.0.0.8 em sua conveniência mais adiantada.
Exposição:
Ontem, a fundação de Mozilla liberou-se Firefox 2.0.0.8, reparando dez vulnerabilities da segurança no web browser popular. Nós sumariamos os três vulnerabilities os mais críticos abaixo:
- Dois vulnerabilities do corruption da memória. Firefox sofre de dois erros unspecified do ruído elétrico, que corrupt a memória. Mozilla presume que com bastante esforço algumas destas falhas do corruption da memória poderiam ser exploradas para funcionar o código arbitrário. Para explorar estas falhas, um atacante teria que primeiramente enganar um de seus usuários em visitar um Web page especialmente crafted. Se seu usuário fizesse exame do bait, o atacante poderia executar o código na máquina desse usuário, com privilégios desse usuário. Se seu usuário fosse um administrador local ou tivesse privilégios da raiz, o atacante ganharia o controle total do computador da vítima.
- Vulnerability da elevação do privilégio do Javascript. De acordo com Mozilla, um atacante pode usar a Certificado objete para modificar XPCNativeWrappers, que por sua vez poderia permitir que o atacante execute o Javascript com os mesmos privilégios que o usuário de Firefox. o Techno-babble de lado, esse significa que se um atacante puder começar seu usuário visitar seu Web page malicioso, e puder convencer esse usuário interagir com sua página em uma maneira particular, poderia explorar este vulnerability para executar o Javascript malicioso no computador do seu usuário com os mesmos privilégios que seu usuário. Este Javascript malicioso poderia fazer apenas sobre qualquer coisa que seu usuário poderia. Assim se esse usuário tivesse administrativo local ou enraizasse privilégios, um atacante poderia potencial leverage este vulnerability para ganhar o controle completo da máquina do usuário.
- Vulnerability da execução do código de Firefox e de Internet Explorer. Em a após Fio borne, nós descrevemos um vulnerability crítico no Internet Explorer (o IE) URI alimentador que poderia ser abusado para lançar um ataque scripting do cruz-browser com Firefox. Este ataque trabalha somente se seus usuários tiverem Firefox e Internet Explorer instalados. Se um atacante pudesse seduzir um de seus usuários para estalar uma ligação especialmente crafted usando o IE, poderia executar o Javascript malicioso em Firefox com privilégios da segurança do seu usuário. If your user had local administrator privileges, the attacker could exploit this flaw to gain complete control of the user’s machines. Mozilla partially corrected the Firefox portion of this vulnerability in July. However, security researchers found new ways of exploiting this flaw using Windows XP with IE7. Today’s update fixes these additional flaws.
The remaining vulnerabilities include Denial of Service (DoS), information disclosure, and URL spoofing flaws. If you’d like to know more about them, check out Firefox’s known issues page. However, the critical vulnerabilities above should convince you to upgrade your Firefox users to the fixed version at your earliest convenience.
As an aside, the 2.0.0.8 update also adds Mac OS X 10.5 (Leopard) support to Firefox.
Solution Path:
Mozilla has updated Firefox, correcting these security vulnerabilities. If you use Firefox in your network, we recommend that you download and deploy version 2.0.0.8 as soon as possible. Mozilla no longer supports the 1.5.x branch of Firefox. We recommend that 1.5.x users migrate to 2.0.0.8 now.
Note: The latest versions of Firefox 2.0 automatically informs you when a Firefox update is available. We highly recommend you keep this feature enabled so that Firefox receives its updates as soon as Mozilla releases them. To verify you have Firefox configured to automatically check for updates, click Tools => Options => Advanced tab => Update tab. Make sure that “Firefox” is checked under “Automatically check for updates.” In this menu, you can configure Firefox to automatically download and install the update, or to merely inform the user that the update exists.
For All WatchGuard Users:
Some of these attacks arrive as normal-looking HTTP traffic, which you must allow through your firewall if your network users need to access the World Wide Web. Therefore, the patches above are your best solution.
Status:
The Mozilla Foundation has released Firefox 2.0.0.8, fixing these security issues.
References:
Written by bardissi. Read more great feeds at is source WEBSITE
no comments.
Read more articles on Student Computing and mozilla and Watchguard and Windows 2000 and Computer Security and Firefox and Network Infrastructure and Windows XP and Business Computer Support and Home Computer Support and Non-Profit Technology and Windows Vista.
- [+] Digg: Feature this article
- [+] Del.icio.us: Bookmark this article
- [+] Furl: Bookmark this article
