Computerworld News Service: Mozilla lapper fem sårbarheder, tre af dem kritiske, i ældre udgaver af Firefox. I samme omgang udvider virksomheden support-perioden for Firefox 3.0 med mindst en måned.
Den nyeste Mozilla-browser, Firefox 3.6, indeholder allerede rettelserne.
Firefox 3.5.8 og Firefox 3.5.18 retter tre kritiske fejl i browserens renderingsmotor Gecko, i HTML-fortolkningen og i implementeringen af Web Worker, som er en udvidet script-funktionalitet, der giver hjemmesideudviklere mulighed for at lægge JavaScript-udregningerne over i en baggrundstråd og dermed reducere performance-brugen i Firefox' brugerflade.
Muligt at lægge malware ind
Hvis en hacker vælger at udnytte en af de tre kritiske fejl, vil han være i stand til at inficere maskinen med sin egen malware, fortæller Mozilla i den tilhørende note.
"Nogle crash viser tegn på hukommelseskorruption under visse omstændigheder, og vi forventer, at i hvert nogen af disse kan udnyttes til at køre arbitrær kode med en fokuseret indsats," står der i vejledningen.
De to andre sårbarheder, der begge har fået bedømmelsen "moderat" i Mozillas system, der inddeler bugs i fire forskellige niveauer, dækker over fejl, der vil kunne udnyttes i cross-site scripting-angreb.
En af cross-site scripting-fejlene blev fundet af en sikkerhedsekspert fra den rivaliserende browserproducent Microsoft, og det er samtidig anden gang på to dage, at eksperter fra Microsoft har videregivet oplysninger om sårbarheder til en konkurrent.
Adobe fortalte også i denne uge, at Microsoft har fundet og overgivet informationer om en kritisk fejl i Reader og Acrobat.
Firefox 3.6 behøver ikke opdateringen, eftersom fejlen blev rettet, inden browseren kom på markedet første gang 21. januar.
Har rettet opgraderings-mekanisme
Sidste gang Mozilla udsendte en sikkerhedsopdatering til Firefox var 5. januar, da virksomheden rettede en fejl i browserens opgraderingsmekanisme og lappede en sårbarhed, som programmørerne uforvarende havde introduceret måneden inden.
Support-perioden forlænges
Samtidig med opdateringen til Firefox 3.0.18 forlænger Mozilla support-perioden for 2008-browseren, der ellers skulle have været afsluttet i januar.
Mozilla vil ikke umiddelbart svare på spørgsmål om, hvornår versionen så skal på pension.
Mozilla har tidligere afbrudt udsendelsen af sikkerhedsopdateringer for en browser omkring seks måneder efter udsendelsen af en nyere version. Firefox 3.5, efterfølgeren til version 3.0, blev sendt på gaden 30. juni 2009.
Ifølge de nyeste tal fra analysefirmaet NetApplications.com, sidder sidder Firefox i dag på 24,4 procent af browser-markedet. Omkring tre-fjerdedele af Firefox-brugerne kørte i sidste måned med version 3.5, mens resten kører med den ældre 3.0.
Firefox 3.5.8 kan downloades til Windows, Mac OS X og Linux fra Mozillas hjemmeside. Folk der allerede nu bruger Firefox kan enten hente opdateringen via browserens 'update tool' eller vente på den automatiske opdatering, der vil dukke op inden for de næste 48 timer.
Oversat af Marie Dyekjær Eriksen