Firefox 42 wydany – z naprawionym „naszym” błędem bezpieczeństwa

03 listopada 2015, 18:30 | W biegu | 1 komentarz
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Mozilla wydała dzisiaj nową wersje swojej przeglądarki – Firefoksa 42.0. Jakie czekają nas nowości?

  • Wprowadzono nowy tryb ochrony przed śledzeniem w trybie prywatnym,
  • Po raz pierwszy została wydana natywna wersja na 64-bitowe Windowsy,
  • Informacja o tym, która zakładka w przeglądarce wydaje dźwięk wraz z możliwością jego wyciszenia,
  • Naprawiono 18 błędów bezpieczeństwa, z czego 3 to błędy krytyczne, zaś 6 oznaczono wysokim poziomem ryzyka.

Z „sekurakowego” punktu widzenia szczególnie interesujący jest zgłoszony przeze mnie błąd o numerze MSFA-2015-122 (CVE-2015-7188), o którym sama Mozilla pisze następująco:

Security researcher Michał Bentkowski reported that adding white-space characters to hostnames that are IP addresses can bypass same-origin policy. This flaw was caused by trailing whitespaces being evaluated differently when parsing IP addresses instead of alphanumeric hostnames. This could lead to a cross-site script (XSS) attack.

W rzeczywistości atak nie pozwalał na wykonanie XSS-a (tj. nie było możliwości wykonania javascriptu), ale tak czy owak możliwe było przełamania same-origin policy i odczyt danych z innych domen.

W niedalekiej przyszłości, napiszemy na Sekuraku cały artykuł na temat tego błędu.

Zachęcamy więc do szybkiej aktualizacji waszych Firefoksów.

Od redakcji: Michał, będzie prowadził jedną z prezentacji na najbliższym Sekurak Hacking Party w Krakowie (to już 9. listopada – w poniedziałek) – można się jeszcze zapisać tutaj.

 – mb

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Kajetan
    Odpowiedz

Odpowiedz