Bezpečnostní aktualizace Mozilla Firefox a Thunderbird

Tomáš Ehrlich, 28. únor 2007 20:46 2 komentářů
Rubriky: Security

Mozilla
Pro uživatele operačního systému Windows, Linux a Mac OS, kteří používají internetový prohlížeč Mozilla Firefox nebo poštovní klient Mozilla Thunderbird, byla vydána bezpečnostní aktualizace. Použití opravného balíčku se silně doporučuje, protože opravuje několik známých zranitelných míst. Jedná se především o chyby, které se dají zneužít pomocí JavaScriptu na stránkách útočníka. Jedna z nich způsobuje pomocí přetečení paměti programu pád prohlížeče.

Mike Schroepfer, viceprezident společnosti Mozilla, uvedl pro CNET: "Tato aktualizace opravuje zranitelnost přes location.hostname a další chyby narušující bezpečnost a stabilitu aplikace." Jedná se především o chyby, které se dají zneužít pomocí JavaScriptu na stránkách útočníka. Jedna z nich způsobuje pomocí přetečení paměti programu pád prohlížeče. Tato chyba trápila především uživatele, kteří používají JavaScript v emailech. Mozilla to však stále silně nedoporučuje, protože to nabízí spoustu možností k útoku.

Druhá zranitelnost přes location.hostname dovoluje útočníkovi měnit nebo nastavovat cookies uživatele dle potřeby. Tuto závažnou chybu objevil polský "morální" hacker Michal Zalewski. Uvedl, že chyba se objevuje v posledních verzích těchto volně šiřitelných programů i v prohlížeči MS IE 7. V cookies jsou uložena přístupová hesla a nastavení některých internetových stránek. Kromě dané informace (např. uložené heslo) obsahují také informaci, ke které stránce patří (kdo dané cookie používá). Pomocí výše uvedené chyby lze změnit vlastníka cookies na útočníkův web. Jak dále uvedl v Bugzille Zalewski, pomocí tohoto triku získá útočník přístup k informacím obsaženým v cookies. Také může zjistit, jak funguje internetová stránka, která původně cookies vlastnila. Je tedy narušena bezpečnost uživatele i internetových stránek, které uživatel navštěvuje.

Bez aktualizace lze bezpečnost zvýšit zakázáním Javascriptu v nastavení programu nebo instalováním rozšíření No-script. To zakáže spouštění skriptů internetových stránek. Podle Zalewského toto zablokování chrání také před mnoha dalšími útoky.

"Díky práci našich přispěvatelů jsme schopni řešit tyto problémy velmi rychle a minimalizovat tak bezpečnostní rizika uživatelů", uvedl Schroepfer.

Oprava výše uvedených bezpečnostních chyb byla provedena během několika hodin po nahlášení. Aktualizace však byla vydána teprve během minulého týdne, protože Mozilla většinou vydává opravné balíky, které opravují hned několik chyb.

Uživatelé mohou aktualizovat své aplikace pomocí položky "Zkontrolovat aktualizace" v menu nápovědy nebo pomocí služby automatické aktualizace, kterou je možno aktivovat v nastavení programu. Aktualizace je také možno stáhnout na GetFirefox.com a GetThunderbird.com. Opravné balíčky jsou dostupné pro Mozilla Thunderbird a Mozilla Firefox verze 1.5.0.10 a pro Mozilla Firefox verze 2.0.0.2.

Zdroj:
Known Vulnerabilities in Mozilla Products


Komentáře

oneless #1
oneless 28. únor 2007 22:43

Jen taková drobnost - Zalewski vs Zalewsky - a) je správně. Po opravě můj komentář s klidným svědomím smažte, díkk ;}

Radim Hasalík #2
Radim Hasalík 01. březen 2007 00:44

Hacker je z Polska, takže se píše jako Michal Zalewski.

RSS 

Komentujeme

Vládní čtvrť a vládní systém, tedy ten informační

Petr Zavoral , 06. leden 2018 16:15
Petr Zavoral

Jeden ze zakladatelů enterprise architektury John Zachman srovnává IT v institucích s Boeingem: Firm...

Více







Kalendář

18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd
30. 01. Ecommerce Expo Prague 2018

RSS 

Zprávičky

Zpomalování iPhonů půjde vypnout

ČTK , 18. leden 2018 13:01

Řada uživatelů Apple podezřívala, že zpomalováním starších telefonů tlačí spotřebitele k nákupu nové...

Více 0 komentářů

Apple se vrací do USA

ČTK , 18. leden 2018 10:07

Firma Apple plánuje postavit další firemní kampus ve Spojených státech a najmout v zemi v příštích p...

Více 0 komentářů

Prodej přes Internet zničí dealery aut

ČTK , 18. leden 2018 10:02

Do roku 2025 celosvětově zanikne 30 až 50 % klasických automobilových dealerství. ...

Více 0 komentářů

Starší zprávičky

Bitcoin se poprvé od začátku prosince propadl pod 10 000 dolarů

ČTK , 18. leden 2018 08:00

"Co se týče kryptoměn, obecně mohu téměř s jistotou prohlásit, že dospějí ke špatnému konci," řekl W...

Více 0 komentářů

Digitální fragmentace představuje hrozbu pro další rozvoj firem

Pavel Houser , 17. leden 2018 14:51

Množství restriktivních opatření přijatých státy G20 se mezi lety 2010 a 2016 zčtyřnásobilo....

Více 1 komentářů

V USA prý vyzývají AT&T k přerušení vztahů s Huawei

ČTK , 17. leden 2018 09:00

Zákonodárci údajně varují americké podniky, že vztahy s Huawei či China Mobile snižují jejich šance ...

Více 0 komentářů

Roman Knap jmenován generálním ředitelem SAP Slovensko

Pavel Houser , 17. leden 2018 08:00

R. Knap v letech 2012–2014 zastával pozici generálního ředitele SAP Slovensko, od roku 2014 je gener...

Více 0 komentářů