Biztonsági hibák a Mozilla nyílt forráskódú szoftvereiben

Biztonsági cégek szinte teljesen egy időben három különböző biztonsági résre bukkantak a Mozilla és Firefox böngészők egyes verzióiban, illetve a Mozilla Thunderbird nevű email kliensben.

A hibák egyike sem kapott kritikus besorolást, de potenciális veszélyt jelentenek a felhasználók számára, és megfelelő ellenintézkedés hiányában a veszély tovább nőhet. Az első hibát a lengyel iSEC Security Research fedezte fel, amely az NNTP protokoll kezelésében bújik meg - a hiba kihasználásával az esetleges támadók buffer-túlcsordulást idézhetnek elő, és saját kódot futtathatnak a védtelen számítógépeken. Az iSEC jelentése szerint hiba a Mozilla böngésző 1.7.5 előtti, valamint a Thunderbird kliens 1.0 előtti változatait érinti.

A cég bejelentésével csaknem egy időben a Secunia is hasonló figyelmeztetést tett közzé internetes oldalán, amelyben a böngészők beépített letöltés vezérlőjének hibájára figyelmeztetnek. A letöltés elindításakor ugyanis a dialógus ablak egyes esetekben hibásan jelzi ki a letöltendő szoftver forrását, amely szintén a támadók segítségére lehet egy behatolási kísérletnél. "A probléma a hosszú al-domain nevekkel kapcsolatos, mivel a program sok esetben hibásan jeleníti meg ezeket. A hiba segítségével a támadók megváltoztathatják a szöveget, és ily módon álcázhatják az általuk használt internetes címeket" - figyelmeztet a Secunia jelentése. A cég szakemberei szerint a hiba a Mozilla Linux 1.7.3, a Mozilla Windows 1.7.5, illetve a Mozilla Firefox 1.0-ás változatát érinti, de a jelentés kihangsúlyozza, hogy számos, jelenleg használt verzión még nem végezték el a teszteket.

A harmadik biztonsági hibát a ptraced.net biztonsági cég jelentette, amely a Thunderbird által ideiglenesen eltárolt fájlok kiszámítható nevére hívta fel a figyelmet. A cég szakemberei szerint a levelező kliens 0.8-as, illetve 0.9.3-as verziója kiszámítható néven, és olyan formátumban tárolja az ideiglenes fájlokat, amelyet a távoli támadók könnyedén feltörhetnek és elolvashatnak. Arról nem szól a jelentés, hogy a program végleges változata tartalmazza-e a hibát.