Mozilla выпустила обновления для Firefox и Thunderbird

Mozilla выпустила обновления для Firefox и Thunderbird

На этой неделе компания Mozilla выпустила новые версии браузера Firefox и почтового клиента Thunderbird, которых закрыто девять и одиннадцать серьезных уязвимостей соответственно.

Как сообщается, в новых версиях Firefox 3.6.11 и 3.5.14 закрыты уязвимости, пять из которых имеют статус критических. Баги были обнаружены в ошибочной загрузке библиотек как в  ОС Windows, так и в ОС Linux.  С помощью уязвимости этого типа злоумышленник мог внедрить двоичный код («binary planting») в библиотеку, в результате чего при помощи вполне легитимного приложения на компьютере жертвы может быть загружен вредоносный код.

Что касается почтового агента, Mozilla Thunderbird, в новых версиях продукта 3.1.5 и 3.0.9 закрыто одиннадцать уязвимостей, восемь из которых ранжировались как критические, в числе которых уязвимость типа «buffer overflow» (переполнение буфера). Последняя была обнаружена при передаче чрезмерно длинных строк в функции JavaScript «document.write ()». Как известно, уязвимость этого типа предполагает возможность переполнения стека атакуемой подпрограммы, в результате чего нарушитель получает возможность выполнить любые команды на стороне хоста, где запущена эта подпрограмма.

Кроме этого, в патче закрыта, так называемая, ошибка «use-after-free», позволяющая атакующим выполнение произвольного кода, которая была обнаружена в свойстве «locationbar». Помимо этой, закрыта еще одна уязвимость, позволяющая удаленное выполнение кода, обнаруженная в некорректной работе функции «LookupGetterorSetter()». Так же, в патче закрыты две уязвимости типа «binary planting» для Windows и Linux.  

И наконец, в обоих продуктах закрыты XSS уязвимости и ошибки SSL запросов.

Security Vision добавила вход по OIDC и поиск зависимостей в настройках

Security Vision выпустила обновление своей платформы. В новой версии появилась поддержка OpenID Connect, инструменты для проверки зависимостей между объектами, а также несколько небольших изменений в отчётах и чатах. Поддержка OIDC расширяет варианты подключения платформы к корпоративным системам аутентификации.

Организации смогут использовать уже настроенную инфраструктуру управления учётными записями и единым входом.

В настройках типов объектов появилась вкладка «Применения». В ней можно посмотреть, где именно в платформе используется выбранный тип объекта. Это пригодится перед изменением конфигурации: администратор сможет заранее оценить, какие связанные настройки могут быть затронуты.

 

Разработчики также переработали историю запуска отчётов. Элементы для просмотра входных параметров и выгрузки готового отчёта теперь расположены удобнее, поэтому найти настройки предыдущего запуска и его результат должно быть проще.

В чатах карточек объектов добавили регистронезависимый поиск сотрудников при упоминании. Теперь имя пользователя будет находиться независимо от того, с заглавной или строчной буквы его ввели.

Есть и техническое изменение, которое важно учесть перед обновлением. Для работы коннектора PowerShell теперь требуется PowerShell версии 7.4.16. Если в инфраструктуре используется более ранняя версия, её придётся обновить заранее.

В целом релиз получился без громких перестроек: основные изменения касаются доступа, контроля связанных настроек и повседневной работы с отчётами и обсуждениями.

RSS: Новости на портале Anti-Malware.ru