Bezpečnostní aktualizace Mozilla Firefox a Thunderbird

Tomáš Ehrlich, 28. únor 2007 20:46 2 komentářů
Rubriky: Security

Mozilla
Pro uživatele operačního systému Windows, Linux a Mac OS, kteří používají internetový prohlížeč Mozilla Firefox nebo poštovní klient Mozilla Thunderbird, byla vydána bezpečnostní aktualizace. Použití opravného balíčku se silně doporučuje, protože opravuje několik známých zranitelných míst. Jedná se především o chyby, které se dají zneužít pomocí JavaScriptu na stránkách útočníka. Jedna z nich způsobuje pomocí přetečení paměti programu pád prohlížeče.

Mike Schroepfer, viceprezident společnosti Mozilla, uvedl pro CNET: "Tato aktualizace opravuje zranitelnost přes location.hostname a další chyby narušující bezpečnost a stabilitu aplikace." Jedná se především o chyby, které se dají zneužít pomocí JavaScriptu na stránkách útočníka. Jedna z nich způsobuje pomocí přetečení paměti programu pád prohlížeče. Tato chyba trápila především uživatele, kteří používají JavaScript v emailech. Mozilla to však stále silně nedoporučuje, protože to nabízí spoustu možností k útoku.

Druhá zranitelnost přes location.hostname dovoluje útočníkovi měnit nebo nastavovat cookies uživatele dle potřeby. Tuto závažnou chybu objevil polský "morální" hacker Michal Zalewski. Uvedl, že chyba se objevuje v posledních verzích těchto volně šiřitelných programů i v prohlížeči MS IE 7. V cookies jsou uložena přístupová hesla a nastavení některých internetových stránek. Kromě dané informace (např. uložené heslo) obsahují také informaci, ke které stránce patří (kdo dané cookie používá). Pomocí výše uvedené chyby lze změnit vlastníka cookies na útočníkův web. Jak dále uvedl v Bugzille Zalewski, pomocí tohoto triku získá útočník přístup k informacím obsaženým v cookies. Také může zjistit, jak funguje internetová stránka, která původně cookies vlastnila. Je tedy narušena bezpečnost uživatele i internetových stránek, které uživatel navštěvuje.

Bez aktualizace lze bezpečnost zvýšit zakázáním Javascriptu v nastavení programu nebo instalováním rozšíření No-script. To zakáže spouštění skriptů internetových stránek. Podle Zalewského toto zablokování chrání také před mnoha dalšími útoky.

"Díky práci našich přispěvatelů jsme schopni řešit tyto problémy velmi rychle a minimalizovat tak bezpečnostní rizika uživatelů", uvedl Schroepfer.

Oprava výše uvedených bezpečnostních chyb byla provedena během několika hodin po nahlášení. Aktualizace však byla vydána teprve během minulého týdne, protože Mozilla většinou vydává opravné balíky, které opravují hned několik chyb.

Uživatelé mohou aktualizovat své aplikace pomocí položky "Zkontrolovat aktualizace" v menu nápovědy nebo pomocí služby automatické aktualizace, kterou je možno aktivovat v nastavení programu. Aktualizace je také možno stáhnout na GetFirefox.com a GetThunderbird.com. Opravné balíčky jsou dostupné pro Mozilla Thunderbird a Mozilla Firefox verze 1.5.0.10 a pro Mozilla Firefox verze 2.0.0.2.

Zdroj:
Known Vulnerabilities in Mozilla Products


Komentáře

oneless #1
oneless 28. únor 2007 22:43

Jen taková drobnost - Zalewski vs Zalewsky - a) je správně. Po opravě můj komentář s klidným svědomím smažte, díkk ;}

Radim Hasalík #2
Radim Hasalík 01. březen 2007 00:44

Hacker je z Polska, takže se píše jako Michal Zalewski.

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

Japonská Softbank zakládá s Foxconnem společný investiční podnik

ČTK , 24. únor 2017 18:03

Japonská skupina Softbank, která investuje převážně v sektoru vyspělých technologií, a tchajwanský s...

Více 0 komentářů

3D tisk ocelových konstrukcí

Pavel Houser , 24. únor 2017 17:37

Podařilo se "vytisknout" jeřábový hák....

Více 0 komentářů

Třetina operátora mobilní sítě Sigfox je na prodej

Pavel Houser , 24. únor 2017 17:17

Zájemci o investici v oblasti internetu věcí mohou získat až 34% podíl společnosti SimpleCell Networ...

Více 0 komentářů

Starší zprávičky

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů

Apple v dubnu otevře v Kalifornii novou centrálu

ČTK , 24. únor 2017 11:30

Americká společnost Apple v dubnu otevře v kalifornském Cupertinu svou novou centrálu. Stěhování 12....

Více 0 komentářů

Ransomware funguje a generuje útočníkům zisky

Pavel Houser , 23. únor 2017 16:45

Ransomware je stále více centralizovaný a několik významných malwarových rodin dominuje celému "trhu...

Více 0 komentářů

Loni rychle rostl prodej mobilů a chytrých hodinek

ČTK , 23. únor 2017 14:43

Prodej technického spotřebního zboží v Česku loni vzrostl o 2,2 procenta na 74 miliard korun. ...

Více 0 komentářů