В системе воспроизведения MPEG-1 Layer III браузера Firefox и почтового клиента Thunderbird обнаружена критическая уязвимость. Дело не так плохо, потому что баг уже исправлен в последних версиях Firefox 37, Firefox ESR 31.6, Thunderbird 31.6, но сама уязвимость серьёзная, поэтому следует предупредить тех, кто в силу каких то причин застрял на старых версиях Firefox и Thunderbird.

Специалист по безопасности Аки Хелин (Aki Helin) обнаружил возможный сценарий, когда освободившийся участок памяти можно использовать для записи вредоносных инструкций (уязвимость типа use-after-free).

Сценарий проявляется только во время воспроизведения MP3-файлов с плагином Fluendo MP3 для GStreamer под Linux. Он 1106596 (CVE-2015-0813) связан со специфическим взаимодействием упомянутого плагина с кодом Mozilla при обработке некоторых файлов MP3. В результате возможен сбой с аварийным прекращением работы браузера.

Баг не проявляется в версиях под Windows или OS X.



5 комментариев

  1. 03.04.2015 at 09:41

    захотел снести линукс и установить винду

  2. 03.04.2015 at 10:16

    «связан со специфическим взаимодействием упомянутого плагина при обработке некоторых файлов MP3 и его взаимодействием с кодом Mozilla» — всё это предложение корявое, как и первая ссылка в нём.

  3. 06.04.2015 at 00:32

    плагины — зло. Мозилла же вроде их упразднила.

Оставить мнение