Mozilla dicht 11 lekken in Firefox

De helft van de kritieke lekken houdt verband met JavaScript en de ‘rendering engine’ van Firefox en andere Mozilla-producten zoals Thunderbird, dat zijn browser-engine deelt met Firefox. Deze kwetsbaarheden kunnen leiden tot corruptie van het geheugen. Mozilla zegt te vermoeden dat op zijn minst een deel van de kwetsbaarheden “met enige moeite” kan worden misbruikt om willekeurige programmacode ten uitvoer te brengen op de pc van het slachtoffer.

Verder blijkt het mogelijk te rommelen met Secure Sockets Layer (SSL), een voorziening in de browser om beveiligde transacties uit te voeren. Dat gebeurt door het Connect-verzoek aan een proxy server te onderscheppen en het antwoord te voorzien van kwaadaardige code. Voorwaarde is wel dat het slachtoffer een proxy heeft ingesteld. Opmerkelijk is dat deze kwetsbaarheid mede is ontdekt door drie onderzoekers van Microsoft.

Andere lekken waar de patches mee afrekenen zitten onder andere in het ‘spoofen’ (vervalsen) van webadressen door middel van ongeldige Unicode-lettertekens en de beveiliging van cookies.

De patchronde van eind vorige week is de vijfde dit jaar voor Firefox 3. De vorige security update dateert van 27 april. Mozilla dichtte toen ijlings een lek dat zijn ontwikkelaars per abuis hadden laten ontstaan in de Windows-versie van Firefox.

Meer informatie over de laatste patches is te vinden in een overzicht op de website van Mozilla.