Kritikus biztonsági réseket foltozott be a Mozilla a Firefox 34-es verziójában. Összesen nyolc sérülékenységet szüntettek meg az új kiadásban, közül három kritikus veszélyességű – írta a Biztonságportál.
A kritikus sebezhetőségek azért jelentenek nagy kockázatot, mert a teljesen szokványos netes böngészés során és különösebb felhasználói közreműködés nélkül is jogosulatlan kódfuttatást segíthetnek elő. Ehhez a támadónak csupán azt kell elérnie, hogy a felhasználó meglátogasson egy speciálisan szerkesztett vagy manipulált weblapot.
A legsúlyosabb sérülékenységek a multimédiás tartalmak feldolgozását, a HTML oldalak megnyitását, illetve a memóriakezelést érintik, de javítottak hibákat a CSP-támogatásban (Content Security Policy) és az XML-kezelésben is.
A listán emellett van olyan javítás is, amely a Mac OS X-es Firefoxok számára fontos: t sújtotta. Magát a hibát Kent Howard kutató fedezte fel. Azt figyelte meg, hogy a CoreGraphics keretrendszer több információt naplóz, mint kellene, így esetenként a Mac gépeken a naplófájlokba felhasználónevek és egyéb bizalmas adatok is bekerülhetnek. Ezt a fejlesztők egész egyszerűen úgy orvosolták, hogy a Mozilla szoftverek esetében alapértelmezésként letiltották egyes események logolását.
Végre nincs SSL v3
A Firefox 34-es kiadásának van még egy, biztonsági szempontból lényeges újítása – bár a változást a Mozilla már októberben jelezte –: alapértelmezésként le van tiltva az SSL 3.0 támogatása. Az indoklás szerint a SSL 3.0 már biztonságos. A webböngészőknek és a weboldalaknak egyrészt ki kellene kapcsolniuk, és modernebb biztonsági protokollra kellene átállniuk. Ezt a véleményt egyébként a Google is osztja. Főleg a ún. POODLE (Padding Oracle On Downgraded Legacy Encryption) sebezhetőség miatt döntöttek úgy november elején, hogy a Chrome 40-es kiadása már alapból nem fogja támogatni az SSL 3-0-t.
Az októberben felfedezett sérülékenység ún. közbeékelődéses támadások indíthatók, és jogosulatlan adatszerzésre nyílhat lehetőségük a támadóknak. A támadók így olyan adatokhoz is hozzáférhetnek, amelyek alapvetően titkosított csatornán közlekednek, azonban a sérülékenység miatt visszafejthetővé válhatnak.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak