22 марта 2015 г.

Обновление Firefox 36.0.4 с устранением критической уязвимости

Доступно корректирующее обновление web-браузера Firefox 36.0.4, в котором устранена критическая уязвимость (CVE-2015-0818), позволяющая организовать выполнение произвольного JavaScript-кода с повышенными привилегиями доступа ко внутренностям браузера. Проблема проявляется при обработке специально оформленных SVG-изображений. Атака с использованием данной уязвимости была продемонстрирована на недавно проведённом конкурсе Pwn2Own 2015, в рамках которого были представлены zero-day уязвимости для всех значительных браузеров. Проблема также устранена в Firefox ESR 31.5.3 и SeaMonkey 2.33.1.

Позавчера, почти сразу после конкурса был представлен выпуск Firefox 36.0.3, в котором было заявлено устранение раскрытых на соревновании Pwn2Own проблем (список исправленных уязвимостей был обновлён с запозданием), но на деле исправлена одна критическая уязвимость (CVE-2015-0817), связанная с ошибкой обработки типизированных массивов в JIT-компиляторе, используемом в asm.js. Уязвимость может привести к выполнению кода в системе. Так как в соревновании были представлены 3 уязвимости, судя по всему, одна проблема пока остаётся неисправленной (до выпуска исправления участники соревнования Pwn2Own не имеют право публично разглашать подробности).

 #Pwn2Own 2015 дает свои плоды и разработчики оперативно реагируют на это! Так что не забудьте проверить и обновить версию своего браузера, не важно firefox, chrome или другой... Автообновления - это хорошо, но береженого Бог бережет!

p.s. Любопытно амигушки и яндексбраузеры, оперы, вивальди... оперативно обновляют?

А вот и обновленный пакет firefox_36.0.4.pfs для linux дистрибутива PRA

Комментариев нет: