Kritikus biztonsági réseket foltozott be a Mozilla a Firefox 34-es verziójában. Összesen nyolc sérülékenységet szüntettek meg az új kiadásban, közül három kritikus veszélyességű – írta a Biztonságportál.

A kritikus sebezhetőségek azért jelentenek nagy kockázatot, mert a teljesen szokványos netes böngészés során és különösebb felhasználói közreműködés nélkül is jogosulatlan kódfuttatást segíthetnek elő. Ehhez a támadónak csupán azt kell elérnie, hogy a felhasználó meglátogasson egy speciálisan szerkesztett vagy manipulált weblapot.

A legsúlyosabb sérülékenységek a multimédiás tartalmak feldolgozását, a HTML oldalak megnyitását, illetve a memóriakezelést érintik, de javítottak hibákat a CSP-támogatásban (Content Security Policy) és az XML-kezelésben is.

A listán emellett van olyan javítás is, amely a Mac OS X-es Firefoxok számára fontos: t sújtotta. Magát a hibát Kent Howard kutató fedezte fel. Azt figyelte meg, hogy a CoreGraphics keretrendszer több információt naplóz, mint kellene, így esetenként a Mac gépeken a naplófájlokba felhasználónevek és egyéb bizalmas adatok is bekerülhetnek. Ezt a fejlesztők egész egyszerűen úgy orvosolták, hogy a Mozilla szoftverek esetében alapértelmezésként letiltották egyes események logolását.

Végre nincs SSL v3

A Firefox 34-es kiadásának van még egy, biztonsági szempontból lényeges újítása – bár a változást a Mozilla már októberben jelezte –: alapértelmezésként le van tiltva az SSL 3.0 támogatása. Az indoklás szerint a SSL 3.0 már biztonságos. A webböngészőknek és a weboldalaknak egyrészt ki kellene kapcsolniuk, és modernebb biztonsági protokollra kellene átállniuk. Ezt a véleményt egyébként a Google is osztja. Főleg a ún. POODLE (Padding Oracle On Downgraded Legacy Encryption) sebezhetőség miatt döntöttek úgy november elején, hogy a Chrome 40-es kiadása már alapból nem fogja támogatni az SSL 3-0-t.

Az októberben felfedezett sérülékenység ún. közbeékelődéses támadások indíthatók, és jogosulatlan adatszerzésre nyílhat lehetőségük a támadóknak. A támadók így olyan adatokhoz is hozzáférhetnek, amelyek alapvetően titkosított csatornán közlekednek, azonban a sérülékenység miatt visszafejthetővé válhatnak.