Na quinta-feira passada a Mozilla lançou o Firefox 3.5.1 com o intuito de resolver vários problemas com a versão 3.5 e para resolver uma falha grave ao nível do motor de javascript. Inclusive a Mozilla aconselhava mesmo a desligar o motor JavaScript JIT (Just-In-Time), escrevendo na barra de endereços about:config e escreva jit no campo de filtragem. Depois era somente dar dois cliques sobre o javascript.options.jit.content e alterar o valor True para False. Ficando assim a função desligada.Agora, existem relatos confirmados de uma segunda vulnerabilidade. A vulnerabilidade é devido a um buffer-overflow na pilha de memória, despoletada por enviar uma string demasiado longa de dados unicode para o método document.write. Esse document.write é uma função básica de javascript, para output => escrita de texto.
Segundo várias fontes, não há patch neste momento para aniquilar a vulnerabilidade. Além disso, esta vulnerabilidade foi descoberta pela mesma pessoa que divulgou detalhes sobre a falha anteriormente corrigida. De acordo com um comentário no SANS ISC, eEye disse que neste caso não ajudaria nada instalar a extensão noscript*. “Nota: Embora o acesso ao Javascript possa ser restrito com add-ons do tipo noscript, pode ainda ser possível que o navegador seja explorado por esta vulnerabilidade, basta para isso que o site carregado seja de confiança do utilizador e esteja a propagar esta invasão. Outra das situações que o utilizador poderá optar é por desligar a interpretação de JavaScipt pelo browser. para isso vá ao menu Ferramentas, Opções e no separador Conteúdo, desliga a opção Activar JavaScrpt.
A Mozilla tem contudo tentado colmatar rapidamente os problemas, mas estes estão a tornar-se cada vez mais frequentes. Veremos se a versão 3.5 do Firefox não será uma dor de cabeça para a Mozilla.
Fonte/Consulta: Peopleware









0 comentários:
Enviar um comentário