Разработчики Mozilla выпустили корректирующие релизы для поддерживаемых веток web-браузера Firefox — 4.0.1, 3.6.17 и 3.5.19. В версии 4.0.1 устранено 14 уязвимостей, из которых 13 присвоен статус критических. Дополнительно в версии Firefox 4.0.1 исправлено 55 влияющих на стабильность ошибок, 12 из которых приводили к краху браузера.
В Firefox 3.6.17 устранено 15 уязвимостей и 59 ошибок. В версии 3.5.19 исправлено 15 уязвимостей и 30 ошибок. Отдельно отмечается, что Firefox 3.5.19 является последним обновлением ветки 3.5.x, пользователям рекомендуется произвести обновление до ветки 4.0.
Одновременно выпущен корректирующий релиз почтового клиента Thunderbird 3.1.10, в котором устранено 4 уязвимости и исправлена 71 ошибка, при этом 13 ошибок приводили к краху программы. Также вышел релиз SeaMonkey 2.0.14 в котором исправлено 15 уязвимостей и 28 ошибок.
Из исправленных в Firefox 4.0.1 критических проблем безопасности можно отметить:
- «MFSA 2011-12» — 10 уязвимостей, связанных с выходом за допустимые границы памяти. Потенциально данные уязвимости могут быть использованы для организации выполнения кода злоумышленника;
- «MFSA 2011-17» — 3 переполнения буфера в коде библиотеки WebGLES, используемой для обеспечения работы WebGL. Две уязвимости могут быть использованы для организации выполнения кода злоумышленника. Одна из уязвимостей проявляется только на платформе Windows и позволяет обойти механизм защиты ASLR (рандомизация адресного пространства), используемый в Windows Vista и Windows 7.
Специфичные для веток Firefox 3.6 и 3.5 опасные уязвимости:
- «MFSA 2011-13» — 2 уязвимости (в объектах mChannel и mObserverList), связанные с обращением к буферу после его очистки и одна уязвимость, позволяющая через манипуляции с nsTreeRange поместить в указатель ссылку на некорректную область памяти;
- «MFSA 2011-15» — уязвимость в плагине Java Embedding Plugin (JEP), используемом на платформе Mac OS X, позволяющая получить доступ к системным ресурсам.