Computerworld News Service: Mozilla har rettet 11 sårbarheder i Firefox - over halvdelen af dem betegnes som "kritiske".
Denne opdatering af browseren er den første siden sidst i april, da Mozilla hastede ud med en sikkerhedsopdatering, der lukkede et hul, som organisationens udviklere utilsigtet havde introduceret i Windows-versionen af browseren. Den kommer kun få dage efter udgivelsen af et midlertidigt Preview-build af den kommende Firefox 3.5.
Ud af de 11 rettede fejl i Firefox 3.0.11 er seks betegnet som af kritisk sårbarhed, en som af høj sårbarhed, to som af moderat sårbarhed og to som af lav sårbarhed i Mozillas firetrins system.
Tre af de seks kritiske sårbarheder ligger i Firefox' renderings- og JavaScript-engines, som ofte er emne for sikkerhedsopdateringerne fra Mozilla.
"Der er indikationer af korruption af hukommelsen under visse omstændigheder, og vi antager, at i det mindste nogle af disse fejl kan med en stor nok indsats udnyttes til at køre arbitrær kode," skriver Mozilla i
sikkerhedsadvarslen for opdateringerne af enginen, i hvad der efterhånden af blevet standardformuleringer.
SSL-sårbarheden er rapporteret til Mozilla af tre sikkerhedseksperter fra browser-konkurrenten Microsoft og af en fjerde fra Purdue University. Disse fire - Shuo Chen, Ziqing Mao, Yi-Min Wang og Ming Zhang - har sammen skrevet en rapport med titlen "Pretty-Bad-Proxy: An Overlooked Adversary in Browsers' HTTPS Deployments," som blev offentliggjort 1. maj (download som pdf). Denne sårbarhed tegner Mozilla som "høj".
[b]Andre af rettelserne forhindrer hackere i at stjæle browser-cookies, køre JavaScript-angrebskode og forfalske internetadresser.
Opdateringen er den femte i år af Firefox 3.x, men ikke den første til Mozillas browsere i løbet af seneste uge.
Siddste mandag frigav Mozilla Firefox 3.5 Preview, som er et næsten færdigt build af den officielle release candidate eller RC-version. Selvom nyfundne fejl endnu engang har udsat udgivelsen af Firefox 3.5 RC, ønskede Mozilla at sende noget i hænderne på hele test-community'et, og tog så det usædvanlige skridt at frigive dette midlertidige build.
På nuværende tidspunkt har Mozilla ikke offentliggjort nogen dato for udgivelsen af Firefox 3.5 RC, som tidligere var planlagt til udgivelse i den første uge af juni. I noterne fra et statusmøde, som organisationen holdte i onsdags, bemærker Mozilla blot at ville udgive RC-versionen, "du ved, når den er klar."
Firefox 3.5 Preview tilbydes kun til brugere, der allerede har installeret Firefox 3.5 Beta 4.
Firefox 3.0.11 kan downloades til Windows, Mac OS X og Linux, men hvis man i forvejen har en tidligere version af browseren, kan man også blot bruge den indbyggede opdateringsfunktion eller vente på den automatiske opdateringsmeddelelse.
Oversat af Thomas Bøndergaard
