Mozilla a livré la huitième actualisation de son navigateur phare Firefox 2 pour corriger au moins 10 vulnérabilités affectant les utilisateurs Windows et Linux.
Le dernier Firefox 2.0.0.8 La mise à jour inclut deux autres correctifs classés « critiques » en raison du risque d'exécution de code.
Le premier problème hautement prioritaire (MFSA 2007-35) élimine un bug qui permet aux attaquants d'exécuter du code JavaScript malveillant avec les droits de l'utilisateur local.
[Il est] possible d'utiliser le
Scriptobjet pour modifier XPCNativeWrappers de telle manière que l'accès ultérieur par le navigateur Chrome -- comme par un clic droit pour ouvrir un menu contextuel - peut entraîner l'exécution du javascript fourni par l'attaquant avec les mêmes privilèges que l'utilisateur. Ceci est similaire à MFSA 2007-25 corrigé dans Firefox 2.0.0.5
Mozilla a également publié (MFSA 2007-29) pour corriger deux vulnérabilités découvertes qui pourraient provoquer des plantages du navigateur « avec des preuves de corruption de la mémoire ».
La dernière mise à jour, qui prend désormais en charge Mac OS X Leopard, inclut un autre correctif (MFSA 2007-36) pour le problème de gestion du protocole URI qui a hanté les utilisateurs de Windows toute l'année; un bug (MFSA 2007-34) qui permet de voler des fichiers via le protocole SFTP et une faille (MFSA 2007-33) qui permet aux pages XUL de masquer la barre de titre de la fenêtre.
Il corrige également une vulnérabilité de vol de focus d’entrée de fichier (MFSA 2007-32); une faille de fractionnement de la demande d'authentification du résumé du navigateur (MFSA 2007-31) et un problème de talonnage onUnload MFSA 2007-30 cela peut conduire à des attaques d’usurpation d’identité.