Scriptorama.nl

De Mozilla Foundation heeft vandaag een nieuwe maintenance release van de Firefox 1.5 serie vrijgegeven: Firefox 1.5.0.5. Deze versie bevat verschillende stabiliteits fixes maar ook de nodige security fixes:

• MFSA 2006-56 chrome: scheme loading remote content
• MFSA 2006-55 Crashes with evidence of memory corruption (rv:1.8.0.5)
• MFSA 2006-54 XSS with XPCNativeWrapper(window).Function(...)
• MFSA 2006-53 UniversalBrowserRead privilege escalation
• MFSA 2006-52 PAC privilege escalation using Function.prototype.call
• MFSA 2006-51 Privilege escalation using named-functions and redefined "new Object()"
• MFSA 2006-50 JavaScript engine vulnerabilities
• MFSA 2006-48 JavaScript new Function race condition
• MFSA 2006-47 Native DOM methods can be hijacked across domains
• MFSA 2006-46 Memory corruption with simultaneous events
• MFSA 2006-45 Javascript navigator Object Vulnerability
• MFSA 2006-44 Code execution through deleted frame reference

Dat zijn behoorlijk wat (serieuze!) problemen in de javascript engine die zijn opgelost. Het is dan ook niet helemaal verwonderlijk dat een van de Security Advisories ook spreekt van een heuze security audit van de Javascript Engine.

Continuing our security audit of the JavaScript engine, Mozilla developers found and fixed several potential vulnerabilities.

Igor Bukanov and shutdown found additional places where an untimely garbage collection could delete a temporary object that was in active use (similar to MFSA 2006-01 and MFSA 2006-10). Some of these may allow an attacker to run arbitrary code given the right conditions

De automatische update zou de nieuwe versie automagisch moeten installeren voor je, maar als je niet kunt wachten kun je hem ook gewoon downloaden via GetFirefox.com.

Happy surfing!