11. 03. 2016 20:50

Společnost Mozilla vydala novou verzi prohlížeče Firefox 45, která přináší opravy řady zranitelností, z nichž některé jsou hodnoceny jako kritické. Současně došlo k redukci některých nevyužívaných funkcí, které byly součástí původních verzí.

Charakteristika zranitelnosti

Kritické chyby se nacházejí v knihovně pro zpracování fontů Graphite 2, dále v parseru řetězců HTML5, ve funkcích WebRTC, SetBody a při transformaci XML. Všechny tyto chyby mohou vést k možnému pádu prohlížeče. Další závažná chyba se nachází v možnosti přetečení zásobníku paměti v knihovnách NSS (Network Securitiy Services), která ve svém důsledku umožňuje útočníkovi vytvořit speciální certifikát. Při jeho zpracování může dojít k pádu aplikace, nebo ke spuštění libovolného kódu.

Postižené systémy

Mozilla Firefox 44 a starší.

Dopad zranitelnosti

Kromě výše uvedených dopadů, může útočník vydávat své upravené webové stránky jako důvěryhodné.

Řešení

Uživatelům využívajícím prohlížeč Firefox se doporučuje aktualizovat na nejnovější verzi 45. V případě, že jsou pro uživatelské projekty využívány knihovny NSS 3.21, doporučuje se je aktualizovat na novější verzi NSS 3.21.1.

CVE

N/A

Odkazy

https://threatpost.com/firefox-45-fixes-40-vulnerabilities-22-critical/116682/
https://www.mozilla.org/en-US/security/advisories/
https://blog.mozilla.org/futurereleases/2016/03/08/discontinuing-rarely-used-firefox-features/