Релиз web-браузера Firefox 3.0.3 и почтового клиента Thunderbird 2.0.0.17
27 сентября 2008 года
Спустя несколько дней после релиза Firefox 3.0.2 анонсирован выход Firefox 3.0.3, в котором исправлена проблема сохранения и подстановки в формы паролей, в которых встречаются символы национальных алфавитов (non-ASCII).
Кроме того, представлен релиз почтового клиента Thunderbird 2.0.0.17, в котором устранена серия проблем безопасности:
- MFSA 2008-46 - переполнение буфера в коде отмены сообщения из новостной группы. Для заголовка сообщения выделяется слишком мало памяти, поэтому атакующий может сформировать сообщение, при отмене получения которого будет выполнен код в системе.
- MFSA 2008-44 - возможность выхода за пределы текущей директории через обработчик "resource:" при использовании закодированных слэшей;
- MFSA 2008-43 - автоматическое вырезание некоторых символов из JavaScript блока может быть использовано для организации межсайтового скриптинга;
- MFSA 2008-42 - в системе обработки изображений и JavaScript-движке исправлено несколько ошибок, которые могли привести к краху браузера и повреждению участков памяти процесса. Некоторые из проблем можно использовать для выполнения кода с правами браузера. Интересно, что в рамках данного отчета представлено четыре разных критических уязвимости;
- MFSA 2008-41 - злоумышленник может ввести в заблуждение враппер XPCnativeWrapperPrivilege или сформировать некорректный XSLT документ, что может привести к выполнению кода вне изолированного окружения с привилегиями браузера.
- MFSA 2008-37 - при парсинге специальным образом закодированного URL, содержащего некорректные UTF-8 последовательности, может быть инициировано переполнение буфера и выполнен код в системе;
- MFSA 2008-38 - в nsXMLDocument::OnChannelRedirect() обнаружена проблема, позволяющая злоумышленнику выполнить JavaScript код в контексте другого сайта.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
