©∆©˙˚ˆ∆©¨¥©¨¥√•¶ª§∞∂´®¶ƒ†•§¶¥©¨ø˙∆ˆπ˚µƒ˙†¶∫§ ´˜®¨¥∞∆ç©√∂µ§®´ƒ†ç≈¥¶∂˙¨∫√ ©•˜µˆ§∞
גרסה 14 של דפדפן Mozilla Firefox, שפורסמה ביום שלישי, מציעה מספר תכונות חדשות הקשורות לאבטחה וכן טלאים עבור נקודות תורפה רבות.
השחרור של Firefox 14.0.1 היה מלווה על ידי 14 עצות אבטחה, 5 מהן דורגו כקריטיות על ידי Mozilla.
עוד פגם קריטי שתוקן ב- Firefox 14 יכול להיות מנוצל כדי לעקוף את אותו דפדפן, (SCSW) - תכונת אבטחה המונעת מקוד אינטרנט לבצע קוד מחוץ להקשר שלו.
בעיה בשחיתות קריטית הנובעת מהאופן שבו הפונקציה "JSDependentString :: undepend" ממירה מחרוזות תלויות למחרוזות קבועות נדון גם הוא. אם נותרו ללא התראה, ניתן לנצל אותה כדי לקרוס את הדפדפן ואולי לבצע קוד זדוני במערכת.
שני היידועים האחרים של האבטחה המסומנים כקריטיים מכסים שש פגיעות אחרות של נזק לזיכרון הנמצאות במרכיבים שונים שיכולים להוביל גם לביצוע של פעולות שרירותיות קוד.
שאר תשע היועצים, ארבעה שדורגו גבוה וארבעה מתונים, מטפלים בפגיעויות שיכולות להקל על סקריפטים בין אתרים (XSS), לחיצות על התקפות קליקים ודיוג, או לאפשר לתוקפים לגנוב אסימוני גישה של OAuth 2.0 ואישורי OpenID , טריק משתמשים לתוך קבלת אישור SSL סוררים להסתיר כתובת זדונית.
בנוסף לטיפול בפגיעויות רבות, Firefox 14 גם מאבטח את החיפושים של Google על ידי הפעלת HTTPS עבור שאילתות חיפוש ביוזמת באמצעות סרגל המיקום, תיבת החיפוש או את הזכות, לחץ על התפריט.
"אנו מבצעים באופן אוטומטי חיפושים ב- Google שלך ב- Firefox כדי להגן על הנתונים שלך מפני עיניים חטטניות, כגון ניהול רשת rators כאשר אתה משתמש ברשתות ציבוריות ציבוריות או משותפות ", אמרו המפתחים של Mozilla בהודעה בבלוג ביום שלישי. "גוגל היא כיום מנוע החיפוש היחיד שמאפשר לפיירפוקס להפוך את החיפושים שלך לפרטיים, אך אנו מצפים לתמיכה במנועי חיפוש נוספים עם תכונה זו בעתיד."
אתרי אינטרנט שאינם של HTTPS יציגו סמל גלובוס אפור המוצג לפני כתובת האתר שלהם, באתרים של HTTPS יופיע סמל מנעול אפור, ואילו אתרי HTTPS המשתמשים אישור EV (אימות Validation) יהיה בעל סמל מנעול ירוק יחד עם שם בעל התעודה שמוצג בשורת כתובת האתר.
תכונה נוספת הקשורה לאבטחה ב- Firefox 14 היא הפעלת opt-in עבור יישומי פלאגין. תכונה זו, המכונה גם "לחץ להפעלה", דורשת אישור משתמש להפעלה של תוכן מבוסס plug-in כמו Flash או Java כאשר היא מופעלת.
התכונה עדיין מתבצעת, כך שעכשיו היא יכולה רק מאופשר על ידי הגדרה ידנית של דגל ב "about: config" - לא ניתן להפעיל אותו מתיבת הדו-שיח 'אפשרויות' של הדפדפן.
התכונות הקשורות לאבטחה ב- Firefox 14 כוללות תמיכה במסך מלא עבור Mac OS X אריה, בר מדהים Awesome עבור כתובות מוקלד ותמיכה עבור Pointer Lock API, ממשק תכנות יישומים אשר ייתן יישומי אינטרנט ומשחקים שליטה טובה יותר על העכבר.
Firefox 14 מכיל תיקוני פגיעות, תכונות הקשורות לאבטחה
אחת מהסקירות הקריטיות מכסה פגיעות העלולה לאפשר לתוקפים לעקוף את JavaScript ארגז חול ולבצע סקריפטים זדוניים עם הרשאות גבוהות.
למעלה ממיליון אתרי WordPress המשתמשים בפלאגין פופולרי כדי לייעל את תוצאות מנוע החיפוש שלהם נמצאים בסיכון להיות פרוצים אם הם לא מחילים תיקון חדש שפורסם. > וורדפרס SEO התוספת שפותחה על ידי אתר האינטרנט ההולנדי אופטימיזציה יואסט מכיל פגיעות המאפשרת לתוקפים לתפעל מסד נתונים של האתר ולהוסיף חשבונות מנהלי סוררים.
מה שנקרא שנקרא עיוור SQL פגיעות התגלה על ידי ריאן Dewhurst, אבטחה חוקר ושיתוף מפתח של סורק WPScan סורק. הפגם משפיע על גרסאות 1.7.3.3 ומעלה של WordPress SEO על ידי יואסט. [
