Biztonságosabbá vált a Firefox

A Mozilla kritikus biztonsági javításokat adott ki a Firefox webböngészőhöz. Érdemes odafigyelni arra, hogy a legújabb verzió legyen a számítógépen.
 

Ahogy arról már a Prémium hírcsatornán beszámoltunk, a Mozilla a Firefox 34-es verziójának kiadásával veszélyes biztonsági réseket foltozott be. Összesen nyolc sérülékenység megszüntetésére került sor, amelyek közül három kritikus veszélyességi besorolást kapott. Ezek a sebezhetőségek azért jelentenek nagy kockázatot, mert teljesen szokványos netes böngészés során, különösebb felhasználói közreműködés nélkül is jogosulatlan kódfuttatást segíthetnek elő. Ehhez a támadóknak mindössze azt kell elérniük, hogy a felhasználó meglátogasson egy speciálisan szerkesztett vagy manipulált weblapot, és máris tetszőleges kódokkal élhetnek vissza.
 
A sérülékenységek közül a legkirívóbbak a multimédiás tartalmak feldolgozását, a HTML oldalak megnyitását, illetve a memóriakezelést érintik. Ezek mellett sebezhetőnek bizonyult a CSP (Content Security Policy) támogatás, valamint az XML-kezelés is. Továbbá egy olyan biztonsági hibára is fény derült, amely a Mac OS X kompatibilis Firefoxot sújtotta. Kent Howard kutató arra lett figyelmes, hogy a CoreGraphics keretrendszer több információt naplóz, mint kellene, így esetenként a Mac gépeken a naplófájlokba felhasználónevek és egyéb bizalmas adatok is bekerülhetnek. A rendellenességet a fejlesztők egész egyszerűen úgy orvosolták, hogy a Mozilla szoftverek esetében alapértelmezésként letiltották egyes események logolását.
 
Vége az SSL v3-nak

A Firefox 34 további, biztonsági szempontból lényeges újdonsága, hogy mostantól alapértelmezésként letiltott az SSL 3.0 támogatása. Ezt a változást a Mozilla már októberben előre jelezte. "Az SSL 3.0-ás verziója már nem számít biztonságosnak. A webböngészőknek és a weboldalaknak ki kellene kapcsolniuk az SSL v3-at, és amilyen hamar csak lehet, jóval modernebb biztonsági protokollra kellene átállniuk annak érdekében, hogy a felhasználók adatai nagyobb védelemben részesülhessenek" - közölte korábban a Mozilla. Hasonlóan vélekedik minderről a Google is, amely a POODLE sebezhetőség miatt szintén úgy határozott, hogy a Chrome-ot megfosztja a sebezhető protokoll támogatásától. Erre a 40-es kiadás megjelenésével egy időben kerül majd sor, jelenleg még csak figyelmeztet a böngésző, ha az elavult protokollt kell használnia.