Mozilla kom i går med en sikkerhetsoppdatering til Firefox 3.6. Denne fjerner et alvorlig sårbarhet i nettleseren, i tillegg til at
over hundre andre feil har blitt rettet.
I forrige uke lød beskjeden fra Mozilla at denne sikkerhetsoppdateringen først ville bli klar den 30. mars. Hvorfor utgivelsen
har blitt framskyndet, er uklart. Men
rådet fra tyske IT-sikkerhetsmyndigheter om å unngå å bruke Firefox inntil sikkerhetshullet er fjernet, kan ha vært en medvirkende årsak.
Detaljer om den mye omtalte sårbarheten har nå blitt offentliggjort. Sårbarheten ble først oppdaget av den russiske sikkerhetsforskeren Evgeny Legerov i Intevydis. Den skyldes en overflytsfeil i WOFF-dekoderen (Web Open Font Format). Feilen kan føre til at det settes av et for lite minnebuffer for å lagre nedlastbare fonter, noe som kan utnyttes av en angriper til å få nettleseren til å krasje, med det resultat at vilkårlig kode kan kjøres på det sårbare systemet.
Sårbarheten påvirker bare Firefox 3.6, siden det var i denne utgaven av WOFF-støtten ble inkludert.
Nedlastingslenker og mer informasjon om Firefox 3.6.2, som den nye versjonen heter, finnes på
denne siden. Versjon 3.6.1 har blitt hoppet over for å synkronisere visse versjonsnumre.
Mozilla planlegger fortsatt å gi ut Firefox 3.0.19, Firefox 3.5.9, Thunderbird 3.0.4 og SeaMonkey 2.0.4 den 30. mars.
