Firefox en Chrome fixen beveiligingslekken
Gepost door: NTS64 - 18 juli 2009 - 11:28 - Bron: Mozilla Firefox Secu - Hits: 3676
Enkele dagen na de release van Firefox 3.5 werd er al een stevig beveilingslek gevonden. Het lek bevond zich in de JIT(Just In Time) Javascript compiler en maakte het mogelijk kwaadaardige code op de gebruiker zijn computer uit te voeren. Op de Security Blog van Mozilla was eerder al te lezen hoe gebruikers zelf maatregelen tegen het lek konden ondernemen. Deze manier was echter nogal bruusk en kwam neer op het uitschakelen van de JIT Javascript compiler, wat de Javascript performance drastisch deed dalen. Nog geen 48u na de ontdekking van het lek kwam Mozilla al op de proppen met een patch, onder de vorm van een update(3.5.1). Verder is er in de releasenotes ook te lezen dat Firefox 3.5.1 enkele stabiliteitsproblemen oplost en de lange opstarttijd op sommige Windows systemen verkort.
Ook Google heeft een update uitgebracht voor zijn browser Chrome. Net zoals de update van Firefox, staat ook de update van Chrome vooral in het teken van beveiling. Er worden 2 grote fouten gefixt. De eerste fout werd veroorzaakt door het uitvoeren van kwaadwillende code tijdens het rendering proces van een tab. De uitvoering van deze specifieke stukjes code zou voor memory corruption kunnen zorgen, wat op zijn beurt het uitvoeren van kwaadaardige code nog makkelijker maakt. De tweede fout was terug te vinden in de Chrome tab sandbox. Door het uitvoeren van specifieke reguliere expressies in Javascript zou heap overflow kunnen optreden. Google wou echter niet meer details kwijt over deze bug totdat een groot aantal gebruikers de fix heeft geïnstalleerd. Naast het oplossen van deze beveiligingslekken worden er ook nog enkele kleine algemene bugs gefixt en worden de Javascript Engine en Google Gears geupdated.
Op de Security Blog van Mozilla was eerder al te lezen hoe gebruikers zelf maatregelen tegen het lek konden ondernemen. Deze manier was echter nogal bruusk en kwam neer op het uitschakelen van de JIT Javascript compiler, wat de Javascript performance drastisch deed dalen.
Nou was de Javascript performance van Firefox ook al niet om over naar huis te schrijven.
Desalniettemin heb ik Firefox 3.5.1 update net binnengehaald. Deze moest handmatig opgehaald worden, Firefox komt zelf niet met een melding dat er een nieuwe update beschikbaar is.
[..quote..]Nou was de Javascript performance van Firefox ook al niet om over naar huis te schrijven.
Desalniettemin heb ik Firefox 3.5.1 update net binnengehaald. Deze moest handmatig opgehaald worden, Firefox komt zelf niet met een melding dat er een nieuwe update beschikbaar is.
Kijk eens in about:config of de optie update_notifications. enabled op true staat.
Meer info: http://kb.mozil...ations..2A