Mozilla Foundation wydała Firefoksa w wersjach 3.0.14 i 3.5.3, w których naprawiono wiele krytycznych luk w zabezpieczeniach wykrytych w poprzedniej edycji.

Błąd w FeedWriterze pozwalał potencjalnemu napastnikowi na wykonanie kodu JavaScript w przeglądarce ofiary jako powłoka Chrome, a więc z najwyższymi uprawnieniami. Poza tym błąd w zarządzaniu kolumnami elementów konstrukcyjnych XUL mógł zostać wykorzystany do manipulacji kursorem, w wyniku czego intruz był w stanie uruchomić przemycony wcześniej kod. W tym celu wystarczyło jedynie, aby ofiara odwiedziła odpowiednio spreparowaną stronę.

Poza tym w nowych wersjach wyeliminowano ogółem siedem potencjalnie dających się wykorzystać błędów w obsłudze pamięci, które programiści oznaczyli jako krytyczne. Oprócz tego zlikwidowano lukę umożliwiającą podszywanie się polegające na wyświetlaniu fałszywych łańcuchów URL z użyciem określonych znaków Unicode. Wersja 3.0.14 koryguje też błąd przy instalacji i usuwaniu modułów PKCS#11 służących do dostępu do kryptograficznych tokenów. Okna dialogowe najwyraźniej nie były wystarczająco jednoznaczne, dlatego napastnik mógł skłonić ofiarę do zainstalowania zmanipulowanego modułu.

Źródło: Heise-Online