Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Firefox 42 wydany – z naprawionym „naszym” błędem bezpieczeństwa
Mozilla wydała dzisiaj nową wersje swojej przeglądarki – Firefoksa 42.0. Jakie czekają nas nowości?
- Wprowadzono nowy tryb ochrony przed śledzeniem w trybie prywatnym,
- Po raz pierwszy została wydana natywna wersja na 64-bitowe Windowsy,
- Informacja o tym, która zakładka w przeglądarce wydaje dźwięk wraz z możliwością jego wyciszenia,
- Naprawiono 18 błędów bezpieczeństwa, z czego 3 to błędy krytyczne, zaś 6 oznaczono wysokim poziomem ryzyka.
Z „sekurakowego” punktu widzenia szczególnie interesujący jest zgłoszony przeze mnie błąd o numerze MSFA-2015-122 (CVE-2015-7188), o którym sama Mozilla pisze następująco:
Security researcher Michał Bentkowski reported that adding white-space characters to hostnames that are IP addresses can bypass same-origin policy. This flaw was caused by trailing whitespaces being evaluated differently when parsing IP addresses instead of alphanumeric hostnames. This could lead to a cross-site script (XSS) attack.
W rzeczywistości atak nie pozwalał na wykonanie XSS-a (tj. nie było możliwości wykonania javascriptu), ale tak czy owak możliwe było przełamania same-origin policy i odczyt danych z innych domen.
W niedalekiej przyszłości, napiszemy na Sekuraku cały artykuł na temat tego błędu.
Zachęcamy więc do szybkiej aktualizacji waszych Firefoksów.
Od redakcji: Michał, będzie prowadził jedną z prezentacji na najbliższym Sekurak Hacking Party w Krakowie (to już 9. listopada – w poniedziałek) – można się jeszcze zapisać tutaj.
– mb
FF zaktualizowany do 42… Cieszy mnie Wasza praca i udział :)
Nasuwają się jedynie pytania techniczne ..
1 . pobrany FF z linku na Win x64 instaluje się w katalogu x86 ???
http://kajom.pl/FF/FF_pl-download.jpg
http://kajom.pl/FF/FF64_install.jpg
2. „Po raz pierwszy została wydanana wersja na 64-bitowe Windowsy”
???????????
http://kajom.pl/FF/FF_Nightly.jpg
… albo za mało ogarniam…