Az első biztonsági rés a Firefox 1.5-ben?
[News.com/HWSW] Az Internet Storm Center szerdán közzétett egy példaprogramot, amely a Firefox vadonatúj, 1.5-ös verziójának hibáját kihasználva képes lefagyasztani a böngészőt.
Biztonsági rés vagy csak bug?
A probléma az SP2-vel frissített Windows XP operációs rendszereken futó Firefox 1.5-öt érinti és a meglátogatott weboldalakat tároló állomány kezelésével kapcsolatos. Amennyiben egy weboldal témaleírása (topic) túl hosszú, a böngésző nem tudja helyesen beolvasni a history.dat fájlt és indítás után lefagy, egy megfelelően preparált oldal meglátogatása után a következő újraindítástól a szoftver használhatatlanná válik. A hibát csak a history.dat fájl törlésével lehet helyrehozni.
Az Internet Storm Centert működtető Sans Institute kutatási igazgatója, Johannes Ullrich elmondása szerint a szóban forgó sebezhetőség adott esetben akár puffertúlcsordulásos támadások indítására is használható, rosszindulatú támadók saját kódjukat juttathatják a számítógépekre, adatokat lophatnak, módosíthatnak vagy törölhetnek, bár hogy ez valóban lehetséges, arra egyelőre nincs bizonyíték.
A Firefox fejlesztését koordináló Mozilla Foundation szerint a böngésző indítása valóban problémás lehet ha a history.dat fájl hibás, azonban ez biztonsági szempontból nem aggályos. A fejlesztők egyelőre nem tudnak olyan esetről, hogy valamely Firefox-felhasználót ilyen támadás ért volna -- hangsúlyozta Mike Schroepfer, a Mozilla műszaki vezetője. "Egyelőre egyetlen független megerősítést sem kaptunk, hogy a böngésző így lefagyasztható lenne."
Nagyobb biztonságot ígér az új változat
A múlt héten megjelent Firefox 1.5 a nyílt forrású böngésző első jelentős ráncfelvarrása a tavaly novemberi megjelenés óta. Az azóta eltelt egy évben a fejlesztők csak a biztonsági réseket foltozták, illetve a hibákat javították, a most kiadott változat azonban számos újdonságot tartalmaz, például továbbfejlesztették a felugró ablakok blokkolását, meggyorsították az oldalak megjelenítését, az oldalak közötti előre- és hátralépést, valamint lehetővé tették a "fülek" átrendezését. Tovább javult a beépülő modulok kezelése is.
Fontos újdonság még az automatikus frissítés. Eddig a Firefox javításainak megjelenésekor a felhasználónak gyakorlatilag a teljes böngészőt újra le kellett töltenie és telepítenie kellett, mostantól azonban a szoftver maga gondoskodik a frissítések megkereséséről és letöltéséről, a felhasználónak csak ki kell adnia az utasítást a telepítésre. A fejlesztők reményei szerint ezzel nagyban növelhető a Firefox biztonsága.