Хакер #305. Многошаговые SQL-инъекции
Как заявил в среду один из руководящих сотрудников Mozilla, в результате
"канцелярской ошибки" компания не включила в состав
патча одно из
обновлений, которое планировала выпустить во время релиза во вторник Firefox
2.0.0.19. Директор Firefox Майк Белтцнер отказался уточнить, какое именно из
десяти обновлений было пропущено, чтобы по возможности затруднить жизнь хакерам,
и сказал, что в компании не считают, что пользователи в данный момент подвержены
риску. Он также акцентировал внимание на том, что для критических уязвимостей,
которые был призван закрыть выпущенный патч, не существует ни одного известного
эксплоита.
Mozilla выпустит Firefox 2.0.0.20, в котором и будет содержаться пропущенное
обновление, не ранее пятницы, но не позднее понедельника. Обновление, выпущенное
во вторник, должно было стать последним для этой версии браузера, однако теперь
заключительным обновлением будет считаться Firefox 2.0.0.20. Ошибка затронула
только версию браузера для Windows, выпуски для Mac и Linux содержат все десять
обновлений.
Firefox 2.0.0.19 должен был включать 5 патчей, имеющих статус "критических",
один патч, закрывающий уязвимость с "высокой" степенью риска, два патча для дыр
с "умеренной" степенью риска и два патча для багов с "низкой" критичностью. Из
четырех уязвимостей, находящихся в двух самых низких категориях риска, самый
серьезный баг мог использоваться для того, чтобы украсть информацию во время
браузинга.
Mozilla агрессивно склоняет пользователей к переходу на более новую версию
Firefox, начиная с момента дебюта Firefox 3.0 в июне этого года. За этот
промежуток времени компанией было выпущено и два обновления для Firefox 2.0,
самое свежее из которых увидело свет две недели назад. По прогнозу, сделанному в
среду Mozilla, второе обновление установили себе уже более двух миллионов
пользователей.