Наконец-то, через несколько недель после того, как информация о двух критических уязвимостях, затрагивающих Firefox 3.0.0 и всю 2-ю ветку, была подтверждена разработчиками, анонсирован релиз Firefox 2.0.0.16 и пока неофициально выложен на FTP Firefox 3.0.1 (ftp://ftp.mozilla.org/pub/firefox/rel...). В этих версиях исправлены эти две опасные уязвимости:
- MFSA 2008-34 — возможность выполнения кода злоумышленника через переполнения ссылочного счетчика CSS-объектов, используемого в структуре данных CSSValue;
- MFSA 2008-35 — злоумышленник может открыть несколько табов в Firefox, используя символ "|" в URI, когда внешнее приложение пытается открыть определенную страницу, а браузер при этом не запущен. Опасность уязвимость представляет с точки зрения возможности формирования URL, при клике на который в контексте "chrome" будет выполнен XUL-скрипт злоумышленника.
Также объявлено, что 2-я ветка будет поддерживаться до середины декабря 2008 года, после чего выпуск обновлений будет прекращен.
>>> Подробности
