En PC & Nätverksteknikers tankar

En ny sårbarhet har upptäckts i den senaste versionen av Mozilla Firefox som släpptes i förra veckan. Orsaken är bristande kontroll av indata till funktionen "nsTextFrame::ClearTextRun()", vilket i sin tur orsakar korruption i minnet vilket kan leda till kodexekvering.

En angripare kan utnyttja sårbarheten genom att specialformatera en webbsida som innehåller kod som utnyttjar sårbarheten och sedan lura en användare att besöka sidan.

Påverkade versioner:
Mozilla Firefox 3.09

Källa: Mozilla.org

Mozilla har släppt uppdateringar till Firefox version 2 och 3 samt till SeaMonkey, en uppdatering av Thunderbird är att vänta. Uppdateringarna rättar ett flertal brister i ovan nämnda produkter.

Vid ett effektivt utnyttjande kan sårbarheterna bland annat utnyttjas för att samla in känslig information och för att exekvera godtycklig kod på ett sårbart system.

1. Firefox 2 har uppdaterats till version 2.0.0.18. För att läsa mer om respektive rättning, se Mozillas beskrivning: http://www.mozilla.org/security/known-vulnerabilities/firefox20.html
2. Firefox 3 har uppdaterats till version 3.0.4. För att läsa mer om respektive rättning, se Mozillas beskrivning: http://www.mozilla.org/security/known-vulnerabilities/firefox30.html
3. SeaMonkey har uppdaterats till version 1.1.13. För att läsa mer om respektive rättning, se Mozillas beskrivning: http://www.mozilla.org/security/known-vulnerabilities/seamonkey11.html
4. Thunderbird kommer att uppdateras till version 2.0.0.18. Information om rättningarna kommer att finnas här: http://www.mozilla.org/security/known-vulnerabilities/thunderbird20.html

• Firefox 2 - versioner tidigare än 2.0.0.18
• Firefox 3 - versioner tidigare än 3.0.4
• SeaMonkey - versioner tidigare än 1.1.13
• Thunderbird - versioner tidigare än 2.0.0.18

Clickjacking kallas ett nytt sätt att angripa webbläsare. I princip alla populära webbläsare som Microsoft Internet Explorer, Mozilla Firefox, Apple Safari och Google Chrome har rapporterats som sårbara. Säkerhetsbristen bygger på att angriparen kan ta kontroll över vilka länkar din webbläsare ofrivilligt kommer klicka på när en hemsida besöks.

Detta utan att JavaScript är aktiverat. Problemet är också att denna sårbarhet verkar vara väldigt svårt att åtgärda. Den enda säkra webbläsaren just nu, skall vara text-baserade Lynx, enligt de som hittat sårbarheten. Även Firefox med tillägget NoScript rätt konfigurerad ska ge skydd.

Källa: zdnet

Mozilla har publicerat totalt åtta säkerhetsbrister i sin webbläsare Firefox. De två allvarligaste kan potentiellt möjliggöra exekvering av oönskade program. En ny version av Firefox finns tillgänglig för nedladdning via tillverkarens hemsida eller via den inbyggda uppdateringsfunktionen i Firefox.

Påverkade versioner:

• Firefox 3.0.1 och tidigare

Under Mozillas utvecklarträff i Whistler, British Columbia, avslöjar utvecklare att de är i full fart med att implementera stöd för det fria videoformatet Ogg Theora.

När integrationen är klar behöver de som navigerar webben inte ladda hem någon speciell insticksmodul för att se på filmer som sprids i det fria formatet. En annan fördel är att webbutvecklare kan använda en

Att döma av statistiken för webbläsare, så kan man konstatera att Firefox fortsätter att växa. Den senaste månadens siffror hos Netapplications visar att Firefox har klättrat upp till 20% strecket ett flertal gånger under juli månad. Detta verkar göras på bekostnad av Internet Explorer, som har ramlat ner under 70%.

Den som inte gillar siffror kan i stället finna intresse i att Firefox 3.1 släppts i en första alfaversion. Förutom en mängd uppdateringar finns även några nya funktioner, som inte var klara till lanseringen av 3.0.

Webbutvecklare kan vara glada över att den förbättrade Gecko-motorn nu fått en del CSS 3-funktioner för att lägga skuggor och effekter direkt på text. Dessutom har man bland annat lagt till stöd för olika HTML 5 API.

Vanliga användare lär främst lägga märke till att CTRL+TAB växling mellan webbläsarens flikar har blivit snabbare och mer överskådlig, samt att de nu sorteras efter när de senast använts. Skillnaden ska vara att webbläsaren inte längre renderar om varje sida man bläddrar mellan förrän användaren hittat rätt flik.

Dessutom har det smarta adressfältet, eller "awesome bar", bättrats på med nya filterfunktioner för ännu mer effektiva sökresultat.

Ett flertal sårbarheter har upptäckts i Mozilla Thunderbird, effektivt utnyttjande kan leda till att det sårbara systemet kraschar eller att godtycklig kod kan köras på det utsatta systemet.

De sårbarheter som har identifierats är:

• Ett flertal sårbarheter i minneshanteringen vilka kan användas för att köra egen kod eller utföra en DoS.
• En ospecificerad säkerhetsbrist som orsakas av "chrome script".
• Funktionen 'mozIJSSubScriptLoader.loadSubScript()' innehåller en säkerhetsbrist som kan utnyttjas för att köra godtycklig kod.
• säkerhetsbrist som påverkar "block reflow", kan orsaka en DoS eller exekvering av godtycklig kod.
  

• Mozilla Thunderbird 2.x

Ett säkerhetsproblem har rapporterats i Mozilla Firefox, som kan utnyttjas av illasinnade personer att kompromettera ett sårbart system.

Sårbarheten orsakas på grund av ett ospecificerat fel och kan utnyttjas för att exekvera godtycklig kod t.ex. när en användare besöker en speciellt utformad webbsida.

Säkerhetsproblemet är rapporterade i versionerna 2.0.x och 3.0. Andra versioner kan också vara påverkade.

Läs mer på: Secunia

Nu finns Firefox 3 att ladda hem från Mozillas site, vid skrivandets stund har webbläsaren laddats ned totalt i över 2,8 miljoner exemplar, var av nästan 20 tusen nedladdningar kommer från lilla Sverige. Världsrekord försöket kommer att pågå till 19:00, 18 juni.

Tyvärr verkar Mozillas internet linor och servrar inte klara belastningen för tillfället, då det inte går att nå varken moder företaget Mozilla eller Firefoxs internet sidor. Den tunga belastningen beror på att Firefox 3 laddas hem ca 9000 gånger per minut, samt att Mozilla har några tekniska problem med sina servrar.



Uppdaterat: Belastningsproblemen verkar nu vara lösta.

Läs mer på: The Mozilla Blog

Här kommer ännu en lista på gratis mjukvara som jag rekommenderar, för alla er som har problem med era datorer, eller känner er osäkra när ni är ute och surfar på det stora spindelnätet. Alla nästan alla programmen är gratis.

1. Mozilla Firefox - En webbläsare på svenska.
   
2. Mozilla Thunderbird - En e-post klient på svenska.
   
3. OpenOffice - Ett office paket på svenska.
4. SpywareBlaster - Ett säkerhetsprogram på engelska.
   
5. SpyBOT - Search & Destroy - Ett säkerhetsprogram på svenska.
   
6. CCleaner - Ett prgram för att städa bort skräpfiler och registerposter.
7. Daemon Tools Lite - En virituell CD & DVD spelare för nästan alla typer av image-filer.
8. Adblock Plus - Ett insticksprogram till Firefox, så att man slipper reklam
9. Download Statusbar - Ett insticksprogram Firefox, för att förenkla nedladdningar.
10. RegistryBooster 2 - Ett icke gratis program för att underhålla Windows registret.
11. Sophos Anti-Rootkit tool - Ett verktyg för att hitta och radera Rootkits*.
12. Avast! 4.0 Home - Ett antivirus program på svenska, om du inte har något sedan tidigare.
13. Personal Software Inspector - Kollar om du har de senaste versionerna av olika program.

När Mozilla under onsdagen förra veckan släppte version 1.5.0.1 av webbläsaren Firefox åtgärdades bland annat en säkerhetslucka relaterad till minneskorruption. Säkerhetsluckan klassificerades som mindre allvarlig av Mozilla på grund av att den ansågs mycket svår att utnyttja.

Den klassificeringen kommer att ändras efter det att en hackare under tisdagen lade upp fungerande attackkod, som utnyttjar luckan, på Metasploits webbplats. Metasploit är ett verktyg som kan utnyttjas för att bland annat testa säkerheten i nätverk men som även används av många hackare på grund av mängden tillgänglig attackkod samt enkelheten i hantering.

Enligt Chris Beard, produktchef på Mozilla, bestämdes klassificeringen av säkerhetsluckan baserat på att det inte fanns någon känd attackkod som utnyttjade den. Klassificeringen kommer nu att ändras till kritisk i och med att det finns risk för att en hackare exekverar skadlig kod via luckan.