![[SECURITY] Firefox krytyczna aktualizacja](/upload/firefox-logo.bee1d85af18f.png){kind=logo}
Mozilla Firefox - przeglądarka właśnie otrzymała nową aktualizację – dzisiaj tj. czwartek 28.08.2015 udostępniono publicznie patch w wersji 40.0.3, zaleca się jego szybką instalację.
Wśród poprawek znajdziemy między innymi łatkę na „use-after-free” dla HTML’owskiego tagu canvas (CVE-2015-4497) – błąd zaklasyfikowany jako krytyczny.
Lukę tą można wykorzystać, np. tworząc stronę zawierającą spreparowany kod dla tagu canvas, który spowoduje crash przeglądarki, a nawet wykonanie zdalnej komendy (przejęcie kontroli nad systemem ofiary).
Kolejną, nie krytyczną już luką która została poprawiona w tej implementacji to (CVE-2015-4498).
Firefox został tak zaprojektowany, aby nie wyświetlać monitów ostrzeżeń, podczas gdy użytkownik wprowadza adres URL dodatków (Add-on) bezpośrednio do paska adresu (ręcznie).
Reasumując błąd bezpieczeństwa polegał na instalowaniu niechcianej wtyczki do przeglądarki, bez informacji o w/w procesie, ponieważ atakujący poprzez skrypt imitował wpisanie adresu dodatku przez użytkownika.
Jeszcze raz, wszystkim użytkownikom Firefoxa, zalecamy jego aktualizację.