Computerworld News Service: To-tredjedele af de sårbarheder, der blev rettet tirsdag, havde fået betegnelsen "kritisk," som er den karakteristik, der gives til fejl, som hackere kan bruge til at opnå kontrol over maskinen eller inficere den med malware.
Ud af de resterende sårbarheder gik to under betegnelsen "høj," en var "moderat" og en var "lav."
Blandt fejlene fandtes Firefox' andet "binary planting"-problem, der også er kendt som "DLL load hijacking."
Uanset hvad man kalder den, fandtes fejlen i Windows-applikationer, som ikke anvender det fulde stinavn til at finde frem til DLL (dynamisk sammenkædede biblioteker) eller executable filer, men som i stedet bruger filnavnet alene.
Det kan udnyttes af hackere, som kan snyde programmet med en inficeret fil af samme navn som det ønskede DLL eller executable.
Kendes fra Stuxnet
Hvis angriberne desuden får lokket brugerne ind på en ondsindet hjemmeside eller delt mappe, eller får dem til at indsætte et USB-stik, kan de på den måde kompromittere computeren og inficere den med malware.
Binary planting og DLL hijackings er ikke et nyt fænomen. De første eksempler blev set for 10 år siden, og Microsoft blev informeret om problemet i august 2009 af forskere fra University of California.
De er også blevet brugt i den virkelige verden: Ormen Stuxnet, der er målrettet industrielle systemer, og som har inficeret tusindvis af pc'er i Iran, anvendte binary planting-teknikker som en af sine mange angrebsmetoder.
Mozilla rettede DLL-delen af fejlen i sidste måned, da Firefox blev opdateret til version 3.6.9. Tirsdagens rettelser sikrer, at Firefox ikke kan bruges til at lancere ondsindede executable-filer. (En lignende opdatering har rettet library loading-fejlen i Linux-versionen.)
Firefox-rivalerne Safari og Opera har rettet lignende fejl, mens der ikke har været opdateringer til Googles Chrome i den forbindelse.
Sådan opdaterer du
En af de virksomheder, som sidste sommer råbte vagt i gevær, kroatiske Acros Security, oplyser, at brugere, der kører Internet Explorer på Windows XP er mest sårbare over for angreb.
Andre rettelser i tirsdagens opdaterings-pakke lukkede tre fejl i browsermotorens hukommelse, en sårbarhed i cross-site scripting og et problem med SSL (secure socket layer)-certificeringen.
Blandt de 40 ikke-sikkerhedsrelaterede fejl, som Mozilla også har rettet, fandtes en af dem i den OOPP ("out of process plug-ins")-feature, der er designet til at holde browseren kørende, hvis Adobes Flash Player, Apples QuickTime eller Microsofts Silverlight plug-ins går ned.
OOPP blev implementeret første gang i Firefox 3.6.4, som Mozilla lancerede sidste juni.
Ifølge Bugzilla, der er Mozillas database over fejl og ændringer, sendte OOPP-fejlen besked om, at Flash var nede, når browseren forsøgte at afspille indhold på hjemmesiden Turner Broadcasting System's (TBS). Men hvis man lukkede ned for OOPP, så kunne Firefox til gengæld afspille Flash-indhold uden problemer.
Mozilla har desuden opdateret den aldrende Firefox 3.5, som i øvrigt lever på lånt tid. Mozillas officielle hjemmesider fortæller, at 3.5 vil blive opretholdt med "sikkerheds- og stabilitetsopdateringer indtil august 2010," eller for to måneder siden.
Sådan gør du
Mozilla udsender typisk opdateringer til gamle versioner i seks måneder efter udgivelsen af en ny version; Firefox 3.6 blev lanceret i januar 2010.
I sidste måned anvendte 14 procent af Mozillas browserbrugere stadig Firefox 3.5, fortalte analysevirksomheden Net Applications for tre uger siden.
Brugerne kan opdatere til Firefox 3.6.11 ved at downloade den nyeste version her, eller ved at vælge "check for updates" i browserens help-menu.
Brugere af Firefox 3.5 kan få fat i den nyeste version ved hjælp af det integrerede opdaterings-værktøj.
Oversat af Marie Dyekjær Eriksen
