Mozilla обновила второе и третье поколение Firefox

Mozilla оповестила пользователей о появлении в свободном доступе обновленной тестовой версии Firefox 3.0 Beta 3 Release Candidate, приблизив тем самым еще на один шаг выход следующего поколения популярного open-source браузера. Пускай даже первоначально RTM, а затем и финальная версия были заявлены на конец 2007 года. Следя за разработкой третьего поколения Firefox, владельцам Firefox 2 не стоит забывать об оперативном обновлении браузера – вышедшая на днях версия Firefox 2.0.0.12 устраняет 11 ошибок, из них три критических, одна с высокой степенью опасности и по три уязвимости имеют рейтинг "умеренный" и "низкий". В новой версии устранено наибольшее количество ошибок начиная с июля прошлого года.

Первая критическая уязвимость заключается в обработке изображений на определенных сайтах, она позволяет получить доступ к журналу посещений и заставить браузер зависнуть. Вторая уязвимость расширяет привилегии атакующего на компьютере и дает возможность удаленно запускать произвольный код на исполнение. Последняя критическая ошибка может быть использована благодаря переполнению буфера обмена, по словам Mozilla, ее эксплуатирование может привести к удаленному запуску произвольного кода. Также устранена недавно раскрытая ошибка в протоколе "chrome", через надстройки Firefox атакующий мог получить информацию об установленных в системе приложениях, чтобы более эффективно организовать атаку.

Похоже, не за горами появление Firefox 2.0.0.13. Спустя буквально несколько часов после появления последнего обновления Firefox на хакерском портале http://www.0x000000.com/ был опубликован код, способный предоставить доступ к установкам в Firefox, а также позволить просматривать любой файл, хранящийся в папке браузера. Как отмечает опубликовавший код хакер, в пятидесяти процентах случаев необходимо не только устранить уязвимость, но и выявить ее первопричину. В Firefox 2.0.0.12 была устранена ошибка, открывавшая через надстройки браузера доступ к различной информации, в нынешнем случае хакер утверждает, что ошибку можно использовать при наличии плагина NoScript, который сам по себе должен обеспечивать безопасность применения JavaScript, Java, Flash и других плагинов на разных сайтах.