Mozilla overrasker med tidlig Firefox-fiks

Fjerner alvorlig sikkerhetshull.

Mozilla kom i går med en sikkerhetsoppdatering til Firefox 3.6. Denne fjerner et alvorlig sårbarhet i nettleseren, i tillegg til at over hundre andre feil har blitt rettet.

I forrige uke lød beskjeden fra Mozilla at denne sikkerhetsoppdateringen først ville bli klar den 30. mars. Hvorfor utgivelsen har blitt framskyndet, er uklart. Men rådet fra tyske IT-sikkerhetsmyndigheter om å unngå å bruke Firefox inntil sikkerhetshullet er fjernet, kan ha vært en medvirkende årsak.

Detaljer om den mye omtalte sårbarheten har nå blitt offentliggjort. Sårbarheten ble først oppdaget av den russiske sikkerhetsforskeren Evgeny Legerov i Intevydis. Den skyldes en overflytsfeil i WOFF-dekoderen (Web Open Font Format). Feilen kan føre til at det settes av et for lite minnebuffer for å lagre nedlastbare fonter, noe som kan utnyttes av en angriper til å få nettleseren til å krasje, med det resultat at vilkårlig kode kan kjøres på det sårbare systemet.

Sårbarheten påvirker bare Firefox 3.6, siden det var i denne utgaven av WOFF-støtten ble inkludert.

Nedlastingslenker og mer informasjon om Firefox 3.6.2, som den nye versjonen heter, finnes på denne siden. Versjon 3.6.1 har blitt hoppet over for å synkronisere visse versjonsnumre.

Mozilla planlegger fortsatt å gi ut Firefox 3.0.19, Firefox 3.5.9, Thunderbird 3.0.4 og SeaMonkey 2.0.4 den 30. mars.

    Les også:

Til toppen