Firefox: lekarstwo gorsze od choroby

Przeglądarki Firefox i SeaMonkey zawierają groźny błąd, umożliwiający uruchomienie złośliwego kodu. Usterka pojawiła się w programach razem z łatką z grudnia 2006, usuwającą inny typ błędu.

Opublikowana 19 grudnia 2006 łatka do przeglądarek Firefox i SeaMonkey okazała się mieć podwójne działanie. Nie tylko usunęła ona błąd związany z zagrożeniem specyficznym atakiem typu XSS, ale też sama spowodowała kolejną lukę w zabezpieczeniach. Błąd został określony jako krytyczny. Fundacja Mozilla od wczoraj (tj. 5 marca) zaleca szybką aktualizację przeglądarek Firefox 2.0.0.1, Firefox 1.5.0.9 i SeaMonkey 1.0.7 do najnowszej dostępnej wersji.

Na czym polega błąd? Podanie specjalnie spreparowanego adresu w atrybucie SRC znacznika IMG może spowodować uruchomienie niebezpiecznego skryptu JavaScript. Co ważne, usterka może zostać wykorzystana także wtedy, gdy użytkownik wyłączy obsługę JavaScript w ustawieniach przeglądarki. Jedynym sposobem ochrony przed potencjalnymi zagrożeniami wykorzystującymi ten błąd jest aktualizacja oprogramowania. Wersje, które nie zawierają opisanego błędu to Firefox 2.0.0.2, Firefox 1.5.0.10 i SeaMonkey 1.0.8.


Zobacz również