Mozilla lapper mengder med sikkerhetshull

Både Firefox og Thunderbird berørt. Samtidig er en ny Firefox 4-beta klar.

Mozilla har for en gangs skyld kommet sikkerhetsoppdatering til både Firefox og Thunderbird på samme dag. Tidligere har mange kjente sårbarheter forblitt i e-postprogrammet Thunderbird i dag og uker før de har blitt fjernet. Begrunnelsen har gjerne vært at så lenge JavaScript-støtten er deaktivert i Thunderbird, så kan ikke sårbarhetene utnyttes.

I alt er det 14 sårbarheter som fjernes fra Firefox 3.6.x og Thunderbird 3.1.x. Sårbarhetene er de samme for begge programmene, og mange berører også eldre utgaver.

Ti av sikkerhetsfiksene anses som kritiske av Mozilla. Dette er sårbarheter som potensielt kan utnyttes til kjøring av angrepskode og installasjon av programvare, uten annen brukerinteraksjon enn normal visning av websider.

De øvrige sårbarhetene anses som mindre alvorlige, men kan blant åpne for avsløring av sensitiv informasjon og «cross site scripting».

DLL

En mye omtalt svakhet som nå har blitt fjernet, er knyttet til lastingen av ikke-obligatoriske DLL-filer i Windows. Både Firefox og Thunderbird forsøker å søke etter og biblioteket dwmapi.dll. Men denne filen, som tilbyr funksjonalitet knyttet til Desktop Window Manager, ble først introdusert i Windows Vista.

I Windows XP vil ikke Mozilla-programmene i utgangspunktet ikke finne denne bibliotekfilen, men den vil bli lastet dersom en fil med et slik navn likevel skulle eksistere i arbeidsmappen til brukeren. Dersom noen lokker en bruker til å åpne et dokument som ligger i den sammen mappen som en modifisert utgave av biblioteket, vil bibliotekfilen lastes inn i programvaren som er satt som standard til å vise dokumentet. I forbindelse med Firefox er det spesielt åpning av HTML-filer som kan åpne for et slik angrep.

Denne sårbarheten berører ikke brukere av Windows Vista og nyere, siden dwmapi.dll-filen der er inkludert i en systemmappe som applikasjonene søker i før turen kommer til arbeidsmappen.

Alle sårbarhetene skal være fjernet fra Firefox 3.6.9 og 3.5.12, samt fra Thunderbird 3.1.3 og 3.0.7. Programmene oppdateres enklest ved å søke etter oppdateringer fra programmets Hjelp-meny.

I tillegg til sikkerhetsfiksene har Firefox 3.6.9 også fått fikset noen stabilitetsproblemer.

Det samme gjelder Thunderbird 3.1.3 har, hvor det dessuten er blitt gjort en del korrigeringer i brukergrensesnittet.

Firefox 4-beta

Mozilla kom i går også med en femte betaversjon av Firefox 4. Det viktigste nyhetene er at det tidligere omtalte Audio Data API-et nå er implementert, at maskinvareakselert 2D-grafikk gjennom Direct2D er aktivert som standard og at sikkerhetsprotokollen HTTP Strict Transport Security (HSTS) er på plass. Den sistnevnte gjør det mulig for nettsteder å insistere på at nettleseren alltid bruker sikre forbindelser når nettstedet besøkes.

Mer informasjon om betautgaven finnes i dette blogginnlegget.

    Les også:

Til toppen