Bezpečnostní aktualizace Mozilla Firefox a Thunderbird

Tomáš Ehrlich, 28. únor 2007 20:46 2 komentářů
Rubriky: Security

Mozilla
Pro uživatele operačního systému Windows, Linux a Mac OS, kteří používají internetový prohlížeč Mozilla Firefox nebo poštovní klient Mozilla Thunderbird, byla vydána bezpečnostní aktualizace. Použití opravného balíčku se silně doporučuje, protože opravuje několik známých zranitelných míst. Jedná se především o chyby, které se dají zneužít pomocí JavaScriptu na stránkách útočníka. Jedna z nich způsobuje pomocí přetečení paměti programu pád prohlížeče.

Mike Schroepfer, viceprezident společnosti Mozilla, uvedl pro CNET: "Tato aktualizace opravuje zranitelnost přes location.hostname a další chyby narušující bezpečnost a stabilitu aplikace." Jedná se především o chyby, které se dají zneužít pomocí JavaScriptu na stránkách útočníka. Jedna z nich způsobuje pomocí přetečení paměti programu pád prohlížeče. Tato chyba trápila především uživatele, kteří používají JavaScript v emailech. Mozilla to však stále silně nedoporučuje, protože to nabízí spoustu možností k útoku.

Druhá zranitelnost přes location.hostname dovoluje útočníkovi měnit nebo nastavovat cookies uživatele dle potřeby. Tuto závažnou chybu objevil polský "morální" hacker Michal Zalewski. Uvedl, že chyba se objevuje v posledních verzích těchto volně šiřitelných programů i v prohlížeči MS IE 7. V cookies jsou uložena přístupová hesla a nastavení některých internetových stránek. Kromě dané informace (např. uložené heslo) obsahují také informaci, ke které stránce patří (kdo dané cookie používá). Pomocí výše uvedené chyby lze změnit vlastníka cookies na útočníkův web. Jak dále uvedl v Bugzille Zalewski, pomocí tohoto triku získá útočník přístup k informacím obsaženým v cookies. Také může zjistit, jak funguje internetová stránka, která původně cookies vlastnila. Je tedy narušena bezpečnost uživatele i internetových stránek, které uživatel navštěvuje.

Bez aktualizace lze bezpečnost zvýšit zakázáním Javascriptu v nastavení programu nebo instalováním rozšíření No-script. To zakáže spouštění skriptů internetových stránek. Podle Zalewského toto zablokování chrání také před mnoha dalšími útoky.

"Díky práci našich přispěvatelů jsme schopni řešit tyto problémy velmi rychle a minimalizovat tak bezpečnostní rizika uživatelů", uvedl Schroepfer.

Oprava výše uvedených bezpečnostních chyb byla provedena během několika hodin po nahlášení. Aktualizace však byla vydána teprve během minulého týdne, protože Mozilla většinou vydává opravné balíky, které opravují hned několik chyb.

Uživatelé mohou aktualizovat své aplikace pomocí položky "Zkontrolovat aktualizace" v menu nápovědy nebo pomocí služby automatické aktualizace, kterou je možno aktivovat v nastavení programu. Aktualizace je také možno stáhnout na GetFirefox.com a GetThunderbird.com. Opravné balíčky jsou dostupné pro Mozilla Thunderbird a Mozilla Firefox verze 1.5.0.10 a pro Mozilla Firefox verze 2.0.0.2.

Zdroj:
Known Vulnerabilities in Mozilla Products


Komentáře

oneless #1
oneless 28. únor 2007 22:43

Jen taková drobnost - Zalewski vs Zalewsky - a) je správně. Po opravě můj komentář s klidným svědomím smažte, díkk ;}

Radim Hasalík #2
Radim Hasalík 01. březen 2007 00:44

Hacker je z Polska, takže se píše jako Michal Zalewski.

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

Google dostal kvůli Androidu od EK rekordní pokutu 4,34 mld. eur

ČTK , 18. červenec 2018 13:26

Google využil Android k upevnění dominantní pozice svého internetového vyhledávače, uvádí EK....

Více 0 komentářů

EK oznámí rozhodnutí o pokutě pro Google

ČTK , 18. červenec 2018 12:10

Google dostal od EK za zneužití dominantního postavení již koncem loňského června pokutu 2,42 miliar...

Více 0 komentářů

Americká Workday koupila českou firmu Stories

ČTK , 18. červenec 2018 09:00

Českou firmu Stories založili tři datoví odborníci, kteří si dali za cíl změnit řízení velkých firem...

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Slovensko zablokovalo přístup k desítkám webů s hazardními hrami

ČTK , 18. červenec 2018 08:00

Na návrh slovenského Finančního ředitelství soudy nařídily telekomunikačním operátorům zamezit příst...

Více 0 komentářů

Český startup CleverFarm buduje v Srbsku síť IoT

Pavel Houser , 17. červenec 2018 10:00

Český startup CleverFarm, který zavádí moderní technologie do zemědělství, pomáhá s budováním IoT sí...

Více 0 komentářů

Akcie Netflixu oslabily, Amazon a Disney konkurují

ČTK , 17. červenec 2018 09:36

Počet nových předplatitelů a tržby internetové televize Netflix zaostaly ve druhém čtvrtletí za oček...

Více 0 komentářů

Velitelství vojenských kybernetických sil by mohlo sídlit v Brně

ČTK , 17. červenec 2018 08:00

Vytvoření velitelství je naplánováno na začátek ledna 2019, od července pak vznikne výkonná část jed...

Více 0 komentářů