Firefox-oppdateringen løser sikkerhetsfeil

Flere sikkerhetsproblemer i Firefox 16 er blir adressert i en oppdatering av nettleserprogramvaren utgitt av Mozilla Foundation. Dette er andre gang i de siste to ukene at nettleseren må oppdateres for å løse sikkerhetsproblemer.

Alle sikkerhetsproblemene er relatert til "Location" -objektet i programvaren. En av feilene, kombinert med noen plugin-moduler, kan utnyttes for å utføre cross-site scripting angrep på brukere. Disse angrepene brukes vanligvis til å infisere webapplikasjoner på pålitelige nettsteder og skape ondsinnet kode til intetanende besøkende på disse nettstedene.

En annen sårbarhet innebærer CheckURL-funksjonen i nettleserens kode, som kan bli tvunget til å returnere en feil verdi. Mozilla sa at dette kunne utnyttes i et scriptingangrep på tvers av siden, eller brukes til å utføre vilkårlig kode til en nettleser-tillegg som samhandler med innholdet på en side.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows PC]

En tredje feil som ble behandlet av oppdateringen, tillot at sikkerhetspakken på stedet-objektet ble omgått av en hacker.

Mozilla presset også ut en oppdatering av Thunderbird-e-postklienten for å adressere for å fikse lignende feil i det programmet. Det forklarte i en blogg om oppdateringen at sårbarhetene som adresseres av den nye versjonen, vil ha mindre innvirkning på Thunderbird fordi den bruker disse funksjonene bare gjennom RSS-feeder og utvidelser som laster inn webinnhold.

Når Firefox 16 ble utgitt 9. oktober, adresserte det sårbarheter som ble omtalt i 14 sikkerhetsrådgivning, 11 av dem "kritiske". Innen 24 timer etter utgivelsen stoppet Mozilla nedlastinger av programvaren på grunn av sikkerhetsproblemer. For å løse disse bekymringene lanserte Mozilla versjon 16.0.1 av nettleseren sin. Den utgivelsen plugget hullet som tillot ondsinnede nettsteder å lese nettleserloggen til besøkende på disse nettstedene.