Skal fjerne gammel Firefox-sårbarhet

Mange klager på at Microsoft bruker så lang tid på å fjerne kjente sårbarheter fra Internet Explorer. Dette stemmer nok også, men Microsoft er ikke alene.

I forrige uke ble det klart at Mozilla endelig har besluttet å fjerne en sårbarhet fra Firefox som har vært kjent i ni måneder.

Sårbarheten er knyttet til Firefox' håndtering av jar:-protokollen, som ikke er begrenset til Java-arkiver, men som vil åpne enhver fil i ZIP-formatet.

Dette kan utnyttes av ondsinnede ved at de laster opp en fil med skadevare på et anerkjent nettsted og så tilbyr en lenke til filen for eksempel i e-postmeldinger. Ofrene vil ut fra URL-en til filen se at den kommer fra et tilsynelatende pålitelig nettsted og vil kunne komme til å laste den ned og åpne den, slik at innholdet blir kjørt.

En annen, relatert sårbarhet gjør at zip-arkiver som lastes via en webserver ved hjelp av en omdirigering til en annen server, blir behandlet som om de befinner seg i konteksten til den opprinnelige serveren.

Ifølge sikkerhetssjef Window Snyder i Mozilla, er stiftelsen i ferd med å teste ut versjon 2.0.0.10 av Firefox, som skal inneholde en sikkerhetsfikser knyttet til disse sårbarhetene.

Den ene fiksen går ut på at Firefox i framtiden bare vil støtte jar-skjemaet for filer som sendes med den korrekte Mime-typen application/java-archive, mens den andre vil skal justere sikkerhetskonteksten i Firefox slik det endelige nettstedet blir gjenkjent som den reelle konteksten for filen.

    Les også:

Til toppen