Mozilla исправила уязвимости в Firefox

Компания Mozilla досрочно выпустила обновления для исправления 2 критических ошибок браузера Firefox, включая уязвимость, обнаруженную во время состязаний Pwn2Own. А 26 марта, через день после того, как был опубликован эксплоит для еще одной уязвимости, был установлен срок для выпуска высокоприоритетного обновления безопасности – 1 апреля. Однако уже в пятницу на сайте компании появились ссылки на Firefox 3.0.8 для операционных систем Windows, Mac OS X и Linux. Пользователи Firefox предыдущих версий могут обновить браузер при помощи встроенного инструмента либо воспользоваться всплывающим окном оповещения.

Как сообщают представители компании Mozilla, Нильс воспользовался ошибкой в реализации XUL, языка создания пользовательских интерфейсов. В некоторых случаях использование метода _moveToEdgeShift приводит к сбою браузера, которым может воспользоваться злоумышленник, чтобы запустить на компьютере жертвы произвольный код. Дополнительная информация об этой уязвимости была блокирована, и доступ к соответствующей записи базы Bugzilla могли получить лишь авторизованные пользователи.

Другая критическая уязвимость была обнаружена 25 марта, когда на сайте Milw0rm был опубликован эксплоит для нее. Используя эту ошибку, злоумышленник может вызвать сбой Firefox во время выполнения вредоносного кода XSL на веб-сайте, что также открывает возможность запуска произвольного кода. Можно узнать подробнее и скачать здесь полную версию Firefox memory corruption PoC/DoS in XUL (XML) parser.

Источник: SecurityLab