Объявлено о выходе новой версии web-браузера Firefox 3.0.9. В новой версии устранено 9 уязвимостей, из которых две представляют серьезную степень опасности, а одна - критическую, сообщает opennet.ru. Кроме уязвимостей исправлен ряд ошибок, влияющих на стабильность, например, потеря cookie из-за повреждения БД-файла, проблемы с отображением вложений к письмам в web-mail сервисах AOL и AIM, задержка при отправке форм с большим числом полей ввода, нарушение фокусировки окон. Исправлены опасные уязвимости:
MFSA 2009-14 - возможность выполнения злонамеренного кода в системе при открытии в браузере подготовленного злоумышленником JavaScript скрипта. Проблема также присутствует в Thunderbird 2.0.0.21 и SeaMonkey 1.1.15, для которых пока не доступны обновления;
MFSA 2009-17 - при открытии Adobe Flash ролика через "view-source:", плагин выполняет его в контексте локального хоста, а не внешнего сайта. Уязвимость может быть использована для совершения CSRF-атак (Cross Site Request Forgery) или для доступа к некоторым общим объектам (например, cookie других сайтов) на машине пользователя;
MFSA 2009-19 - возможность преодоления ограничений XMLHttpRequest и XPCNativeWrapper.toString в плане направления запроса к внешнему, не текущему, сайту. Ошибка может быть использована атакующим для выполнения JavaScript кода в контексте другого сайта.
Отдельно подчеркивается, что уязвимости присутствуют и в ветке Firefox 2.0.x, выпуск обновлений для которой прекращен. Пользователям настоятельно рекомендуется обновить браузер до Firefox 3.0.
Пресс-релиз