Nowy Firefox wciąż dziurawy

Od ubiegłej środy można pobrać nową, załataną wersję Firefoksa, odporną na dwie, krytyczne - jeśli chodzi o bezpieczeństwo - dziury, o których pisaliśmy 9 maja. Szybka, czterodniowa rekcja Mozilla Fundation na znalezione błędy z pewnością zasługuje na pochwałę. Jak się jednak okazuje, stara, znana już od pół roku dziura, pozwalająca na zawieszenie i zamknięcie przeglądarki, ciągle nie została załatana w najnowszej wersji Firefoksa 1.0.4, notabene polecanej na oficjalnej stronie mozilla.org.

Jak to możliwe?

Ludwik Trammer, sympatyk Firefoksa wyjaśnia:

"Błąd został poprawiony w tydzień po zgłoszeniu, tyle że do wersji 1.0.x
włączane są tylko poprawki z dziedziny bezpieczeństwa, a ta do nich nie należy. Wystarczy zajrzeć do podanego buga 272381 aby przekonać się, że poprawka powstała dokładnie tydzień po zgłoszeniu, jeszcze w zeszłym roku. Zaraz po tym została włączona do kodu, z którego powstanie Firefox 1.1. Więc od pół roku wersje testowe wydawane z tego kodu nie zawierają tego błędu."

"Natomiast wersje w linii 1.0.x zawierają poprawki błędów bezpieczeństwa
i tworzone są w osobnej linii Firefoksa 1.0. Zapewnia to wysoką stabilność tych wersji. Ten błąd zdecydowanie z bezpieczeństwem nie ma nic wspólnego. Najgorsze co może zrobić to raz zamknąć przeglądarkę."

Szkoda, że użytkownicy odwiedzający oficjalną witrynę Mozilla Fundation,
proszeni są o pobranie Firefoksa 1.0.4, który posiada - może nie krytyczną, ale bardzo uciążliwą dziurę. Jak denerwujące jest nagłe zamknięcie przeglądarki zwłaszcza, gdy w panelach posiadamy wiele otwartych stron, każdy może sprawdzić na: night.pl/~xerror/exploits/ff.htm [uwaga, okno przeglądarki może zostać zamknięte bez ostrzeżenia]. Ciężko zatem obecne wydanie Firefoksa nazwać stabilnym.

Dodatkowo, wedle doniesień, na błąd #272381 podatne są wszystkie pozostałe przeglądarki oparte na silniku Gecko; m.in. Mozilla.

Autor: Piotr Konieczny [lumd.hacking.pl