Mozilla Foundation реклассифицировала недавно обнаруженную ошибку Firefox как уязвимость повышенного риска. Эксплуатируя ее, хакер может получить доступ к конфиденциальным данным при помощи аддона браузера. Аддоны устанавливаются как «flat packages» вместо архивов .jar. Это может позволить атакующему использовать специально разработанные адреса в некоторых HTML-тегах для использования уязвимости.

Специалист безопасности Уиндоу Снайдер (Window Snyder) объявила о смене статуса уязвимости в своем блоге. В сообщении приводится большой список аддонов, которые устанавливаются как пакеты .jar и поэтому могут сделать систему пользователя уязвимой. Снайдер также призывает разработчиков аддонов обновить версии своих продуктов.

Джерри Эйзенхаур (Gerry Eisenhaur) обновил свой блог на hiredhacker.com, в котором первоначально публиковалось сообщение об уязвимости, при помощи которой можно считать данные файла sessionstore.js. В нем содержится информация о текущей сессии браузера, включая cookie и открытки вкладки.

Разработчики из Mozilla уже работают над выпуском обновления, в котором данный недостаток будет устранен, сообщает heise-security.co.uk. По данным СМИ, окончательная версия браузера 2.0.0.12 должна стать доступна 5 февраля.

www.securitylab.ru

Последняя модификация: 5 Февраль, 2008