Mozilla Firefox JavaScript Engine Information Disclosure Vulnerability

Mozilla

A Secunia mai figyelmeztetője szerint a Mozilla Firefox böngészőkben levő Javascript engine hibáját kihasználva a rosszindulató támadó érzékeny információkhoz juthat rendszerünkről.A Firefox érintett verziói: 0.x és 1.x kiadások. A hibát a Mozilla Firefox 1.0.1 és 1.0.2 verzióira igazolták. A többi verzió is érintett lehet. A workaround: ki kell kapcsolni a Javascript támogatást a javításig. A hibát a Secunia a mérsékelten kritikus besorolásba helyezte.

A hibát saját rendszereden itt tudod tesztelni. A bejelentés itt.

Micskó Gábor írta:
> Valoban. Koszi. Kiadas mikorra varhato?
>
Sajnos ezt nem tudom, gondolom napokon belül. Igazság szerint eleinte
arról volt azó, hogy az 1.0.3 csak a Windows installert javítja meg (ha
frissítésként települ, akkor leszedi az előző verzió uninstall
bejegyzését) és a pluginek kézi telepítése fog ezentúl működni. Erről a
biztonsági hibáról nem is tudtam.

Egyébként érdekesség, hogy ez a hiba még a Netscape-es időkből
öröklődött, azaz 1997 óta benne van a Mozillában.
https://bugzilla.mozilla.org/show_bug.cgi?id(8688

( snq- | 2005. 04. 05., k – 15:53 )

hurra itt (http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-aviary1.0.1/) van zip, nem csak ez az okor installer-egze

Nekem az a gyanúm, hogy az 1.0.3 megjelenése ennek a hibának köszönhető eleve. A többi javításért nem adtak volna ki hibajavító verziót, legalábbis a Firefox történelme alapján én ezt furcsálnám. A hibát talán már több napja ismerik, mert előbb biztos nekik szóltak, mint megjelentették. A policy-juk szerint az ilyen hibákról viszont nem beszélnek addig, amíg vagy nem jelenik meg rá javítás, vagy pedig széles körben ismert nem lesz. Remélhetőleg mihamarabb kijön a friss verzió hivatalosan is.