Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10356
  комментариев: 2242

Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устранением 11 уязвимостей


Разработчики Mozilla выпустили корректирующие релизы для поддерживаемых веток web-браузера Firefox - 3.6.14 и 3.5.17, в которых устранено 11 уязвимостей, из которых девяти присвоен статус критических. Дополнительно в версии Firefox 3.6.14 исправлена 41 ошибка, а в версии 3.5.17 - 30 ошибок.

Одновременно выпущен корректирующий релиз почтового клиента Thunderbird 3.1.8 (поддержка ветки 3.0.x прекращена, поэтому обновление для нее не выйдет), в котором устранено 3 уязвимости и исправлено 57 ошибок, из которых 8 приводили к краху программы. Среди прочего, в Thunderbird 3.1.8 устранено падение при разборе поврежденного файла JPEG, в ParanoidFragmentSink добавлена возможность работы с URL вида "javascript:" в документах chrome. В ближайшее время также ожидается обновление пакета SeaMonkey 2.0.12.

Из исправленных в Firefox критических проблем безопасности можно отметить:
MFSA 2011-01 - две уязвимости, связанные с выходом за допустимые границы памяти. Потенциально данные уязвимости могут быть использованы для организации выполнения кода злоумышленника;
MFSA 2011-02 - рекурсивный вызов оператора "eval()" в секции try/catch можно использовать для подтверждения выбора в диалоговых окнах. В частности, после выполнения определенных операций с "eval()" браузер отображает любое окно без текста и с неработающими кнопками, когда пользователь закрывает такое окно, скрипту возвращается значение true, что может быть использовано атакующим для слепого подтверждения любых диалогов, в том числе предоставляющих расширенные права доступа;
MFSA 2011-03 - в методе JSON.stringify найдена ошибка, приводящая к записи данных в освобожденную ранее область памяти, что может быть использовано для выполнения кода злоумышленника;
MFSA 2011-04 - внутри JavaScript-движка в коде внутреннего маппинга памяти для нелокальных переменных найдена возможность инициирования переполнения буфера, что может привести к организации выполнения кода злоумышленника;
MFSA 2011-05 - в коде внутреннего маппинга строковых значений найдена ошибка, проявляющаяся в возможности помещения в указатель ссылки на некорректную область памяти при работе со строками размером больше 64 Кб. Ошибку потенциально можно использовать для организации выполнения кода злоумышленника;
MFSA 2011-06 - возможность записи данных в уже освобожденную область памяти через манипуляции с системой Web Workers, что в итоге может быть использовано для выполнения кода злоумышленника;
MFSA 2011-07 - некорректный расчет размера буфера при вставке в HTML-документ слишком больших строк, хвост которых может быть записан в область памяти за границей выделенного буфера. Проблема проявляется только на платформе Windows и может привести к выполнению кода злоумышленника;
MFSA 2011-09 - уязвимость в коде декодирования JPEG-изображений, может быть использована для выполнения кода злоумышленника при обработке специально оформленного JPEG-изображения.


Источник: opennet.ru

  2 марта 2011 750
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 7 и 20*:            


Хостеры (2444)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 17 и 1*:


Яндекс цитирования
сообщить о неточности