Mozilla publiceert Firefox 16.0.1 om vier kwetsbaarheden te adresseren

Mozilla heeft donderdagavond Firefox 16.0.1 uitgegeven om een ​​openbaar gemaakt beveiligingslek en drie andere beveiligingsfouten te verhelpen die zijn vastgesteld na de release van Firefox 16.

Mozilla is verwijderd Firefox 16 van zijn website op woensdag, één dag na de release, vanwege een kwetsbaarheid waarmee kwaadwillende webpagina's mogelijk de URL's konden lezen van andere websites die toegankelijk waren voor bezoekers. Dergelijk gedrag zou normaal moeten worden verboden door de beveiligingsmechanismen van de browser.

Het probleem werd woensdag bekendgemaakt door veiligheidsonderzoeker Gareth Heyes. Heyes publiceerde een proof-of-conceptcode die, wanneer geladen vanaf een willekeurige webpagina, de gebruikersnaam kon bepalen van een gebruiker die was aangemeld bij Twitter.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Mozilla vastgesteld dat het probleem dat door Heyes is gevonden alleen van invloed is op Firefox 16.0 en dit heeft aangepakt in Firefox 16.0.1.

De nieuwe versie van Firefox repareert echter ook een afzonderlijk beveiligingslek dat is ontdekt door een Mozilla-beveiligingsonderzoeker die tot een vergelijkbaar gedrag kan leiden. In Firefox 15 en eerdere versies kan dit tweede beveiligingsprobleem ook leiden tot uitvoering van willekeurige code.

Bovendien worden in Firefox 16.0.1 twee bugs voor geheugencorruptie in de browser-engine hersteld die kunnen resulteren in crashes en die mogelijk kunnen worden misbruikt om uit te voeren willekeurige code. Een van deze bugs heeft alleen invloed op de Android-versie van Firefox bij gebruik van aangepaste Android-firmware zoals CyanogenMod.

Thunderbird 16.0.1 en SeaMonkey 2.13.1 werden ook op donderdag vrijgegeven om dezelfde kwetsbaarheden aan te pakken die in het bureaublad waren gepatcht versie van Firefox.