Már a közelmúltban kiadott 40-es Firefox is elsősorban hibajavításokban jeleskedett, és most itt van egy újabb alverzió két újabb folttal. A Mozilla most nagyon ráerősített a biztonságra. Elkezdődött a bővítmények közötti nagytakarítás is, amit még az idén végig akarnak vinni: a nem megfelelően aláírt kiegészítők blokkolja majd a Firefox. Egyelőre azonban csak figyelmezteti a felhasználót, ha ilyen kiegészítőt használ – írta a Biztonságportál.
Mint azt a Bitport is megírta, a Google már tavaly szigorította a Chrome-bővítmények használatát. Egyrészt letiltotta a NPAPI-alapú (Netscape Plug-in Application Programming Interface) kiegészítőket, másrészt tavaly májustól minden olyan kiegészítő telepítését letiltotta, amit nem a Chrome Web Store-ból töltenek le a felhasználók, Ezek alól csak a vállalati, belső használatra fejlesztett bővítmények kivételek, melyeket azonban csak a jogosultsággal rendelkező felhasználók érhetnek el.
A hiba a kiegészítők kezelésében volt
Mivel most a Mozillánál is épp a kiegészítőblokkolás a nagy újdonság, közepes pofonnal is felér, hogy most a Firefox 40-es verziójában elsőként épp a bővítmények kezelésében találtak sérülékenységet. A magas veszélyességű kategóriába sorolt biztonsági rés az ún. "data:" URI-k (Uniform Resource Identifier) esetenkénti nem megfelelő kezelésére vezethető vissza.
A hiba kihasználásával ki lehet iktatni a bővítmények telepítésekor megjelenő figyelmeztetéseket. Így a támadó könnyebben ráveheti a felhasználót arra, hogy ártalmas kiegészítőket telepítsen. A felhasználóban ugyanis fel sem merül, hogy számítógép tulajdonosa egy ilyen támadás során mindvégig azt hiheti, hogy egy megbízható helyről szerzi be az adott bővítményt, holott a valóságban éppen egy kártékony kiszolgálóról töltöget le kódokat.
A másik sérülékenységet a canvas tagek átméretezésében találták. A kritikus veszélyességű sebezhetőség speciálisan összeállított weboldalak meglátogatásakor okozhat problémákat, mivel tetszőleges kódok jogosulatlan távoli végrehajtására is módot ad. A kódok a Firefoxot futtató felhasználó jogosultsági szintjének megfelelően hajtódnak végre.
A Firefox 40.0.3-as verziójában már befoltozták mindkét rést. Ha nem használja az automatikus frissítést, mihamarabb telepítse.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak