Trzy łaty dla Firefoksa 3.0 i 3.5

Ze starszego wydania przeglądarki usunięto dwie luki w zabezpieczeniach, wykryte w czasie konferencji Black Hat 2009. Odnaleźli je niezależnie od siebie Dan Kaminsky (szerzej znany dzięki znalezieniu luki w protokole DNS w 2008 r.) oraz niejaki Moxie Marlinspike. Błędy dotyczyły implementacji w przeglądarce protokołu szyfrującego Secure Socket Layer, a obaj specjaliści zaprezentowali, w jaki sposób luki mogły by zostać użyte przez cyberprzestępców.

Atakujący mógłby np. przechwycić sesję internetową użytkownika i wykraść jego hasła lub namówić go do zainstalowania groźnego oprogramowania.

Firefox 3.5 jest odporny na tego typu ataki, ponieważ zastosowano w nim nowszą, lepiej zabezpieczoną wersję bibliotek NSS (Network Security Services) służących do implementacji algorytmów szyfrujących.

Dlatego też w tej wersji przeglądarki załatano jedną lukę, zidentyfikowaną wcześniej przez programistów Mozilli - dotyczyła ona sposobu, w jaki przeglądarka obchodzi się z odpowiedziami z serwerów proxy SOCKS5. Mozilla oznaczyła ją jako błąd obarczony niskim ryzykiem wykorzystania przez napastników.

Patch eliminujący identyczną lukę z Firefoksa 3.0 został wydany 21 lipca w ramach aktualizacji 3.0.12.

Firefox 3.5.2 i 3.0.13 dostępne są już do pobrania w wydaniach dla systemów operacyjnych Windows, Mac OS X i Linux. Aktualizacji przeglądarki można też dokonać przywołując okno dialogowe aktualizacji (menu Pomoc | Sprawdź dostępność aktualizacji) lub poczekać, aż nowe wydania znajdą się w systemie aktualizacji automatycznych, co powinno potrwać do 48 godzin.

Koniec wsparcia dla Firefoksa 3.0 przewidziany jest na styczeń 2010 r.

Więcej informacji: Mozilla