В Firefox, Thunderbird и Seamonkey закрыты уязвимости
Mozilla выпустила обновления безопасности сразу к трём флагманским продуктам – браузеру Firefox, почтовому клиенту Thunderbird и календарю Seamonkey. Уязвимости, обнаруженные в них, позволяли встраивать в страницы произвольный код на JavaScript, проводить атаки межсетевых сценариев (XSS), накладывать на окна постороннюю графику и выполнять другие хакерские действия.
Как сообщает Heise-security.co.uk, в браузере была устранена ошибка работы функции JavaScript addEventListener(). В почтовом клиенте из-за нестрогого соблюдения требований протокола шифрованной связи APOP имелась возможность взлома пароля. Ошибки в языке описания внешнего вида программ Mozilla, XUL, позволяли накладывать постороннюю графику, например, обманный URL поверх адресной строки.
Отсутствие проверки длины имени сайта в куки могло привести к перерасходу оперативной памяти и подвесить браузер. Не было в системе работы с куки и проверки на наличие символов внутренних разделителей. Используя внутренние символы разделения в специально сконструированном файле куки, фишеры могли подставлять пользователю фальшивые сайты.
Уязвимостям подвержены Firefox 2 вплоть до последней версии, 2.0.0.4, Firefox 1, до 1.5.0.12, Thunderbird до 2.0.0.4 и 1.5.0.12, а также Seamonkey до 1.1.2 и 1.0.9. Для всех программ, кроме Seamonkey, доступно автоматическое обновление.
Обновление к Firefox 1.5.0.12, станет последним для браузеров первого поколения. "Через несколько недель" начнётся автоматическое обновление Firefox 1.x до последней версии 2.
Как сообщает Heise-security.co.uk, в браузере была устранена ошибка работы функции JavaScript addEventListener(). В почтовом клиенте из-за нестрогого соблюдения требований протокола шифрованной связи APOP имелась возможность взлома пароля. Ошибки в языке описания внешнего вида программ Mozilla, XUL, позволяли накладывать постороннюю графику, например, обманный URL поверх адресной строки.
Отсутствие проверки длины имени сайта в куки могло привести к перерасходу оперативной памяти и подвесить браузер. Не было в системе работы с куки и проверки на наличие символов внутренних разделителей. Используя внутренние символы разделения в специально сконструированном файле куки, фишеры могли подставлять пользователю фальшивые сайты.
Уязвимостям подвержены Firefox 2 вплоть до последней версии, 2.0.0.4, Firefox 1, до 1.5.0.12, Thunderbird до 2.0.0.4 и 1.5.0.12, а также Seamonkey до 1.1.2 и 1.0.9. Для всех программ, кроме Seamonkey, доступно автоматическое обновление.
Обновление к Firefox 1.5.0.12, станет последним для браузеров первого поколения. "Через несколько недель" начнётся автоматическое обновление Firefox 1.x до последней версии 2.
Ещё новости по теме:
18:20