 Pojawiła się nowa wersja przeglądarki internetowej Mozilla Firefox 3.0.6. Nowa wersja poprawia 6 luk, w tym jedną krytyczną. Deweloperzy Mozilli zidentyfikowali kilka błędów stabilności w silniku Firefoxa i innych produktach Mozilli. W wyniku błędów przydzielania pamięci możliwe było przemycenie i uruchomienie dowolnego kodu. W przypadku Thunderbirda, aby możliwy był atak musiałaby być w nim włączona obsługa JavaScript (domyślnie wyłączone).
Inne błędy dotyczyły metody chrome XBL, która stosowana w połączeniu z window.eval pozwalała na wykonanie arbitralnego kodu JavaScript w kontekście innej witryny. Inna luka pozwalała na zmianę zawartości karty podczas jej odbudowy. Atakujący mógł ustawić wartość tekstu na ścieżkę do pliku, którą musi znać. Jeżeli karta została zamknięta, a następnie otwarta przez ofiarę, atakujący mógł wykorzystać ten fakt, aby zmienić typ pliku wejściowego. Skrypt taki na stronie mógł automatycznie przesłać formularz i ukraść zawartość pliku użytkownika.
Źródło: www.mozilla.org |
