Mozilla выпустила Firefox 2.0.0.6, чтобы исправить две уязвимости безопасности.
Из двух недостатков более серьезный возникает, когда браузер не может процентное кодирование пробелов и двойных кавычек в URL-адресах, переданных вспомогательным приложениям, переданным вспомогательным приложениям. Это позволяет вредоносным веб-страницам открывать программы с потенциально опасными параметрами командной строки.
Другая уязвимость — это ошибка повышения привилегий с расширениями, которые случайно появились в Firefox 2.0.0.5.
Уязвимость обработки протокола URL аналогична уязвимости URL-адреса firefoxurl://, которая была исправлена в выпуске Фаерфокс 2.0.0.5. Это позволило злоумышленнику, использующему Internet Explorer, запустить Firefox с вредоносными параметрами командной строки. В уязвимости, исправленной в Firefox 2.0.0.6, Firefox используется в качестве вектора атаки для запуска других приложений с опасными аргументами. Эксплойт может быть расширен для выполнения любой программы в известном месте, возможно, с передачей опасных параметров командной строки.
Firefox 2.0.0.6 доступен через встроенную функцию обновления или через mozilla.com/firefox. Подробную информацию можно найти в примечания к выпуску. Эквивалентные обновления для Thunderbird и SeaMonkey ожидаются в ближайшее время.
