Mozilla в понедельник выпустила обновление для Firefox — версию Firefox 3.5.2, которая устраняет  четыре критические ошибки безопасности в популярном браузере с открытым кодом, включая одну, обнаруженную на прошлой неделе, которая могла облегчить обман SSL-сертификатов, используемых для обеспечения безопасности веб-сайтов.

Уязвимость означала, что Firefox мог быть обманут неверными сертификатами с помощью потенциально опасного сценария, который мог позволить нападавшим создавать убедительно выглядящие подделки сайтов, используемых для банков, электронной почты и других конфиденциальных услуг.

Этот метод работает путем добавления простой пустой строки к нескольким полям сертификата, независимо друга от друга сообщили на конференции по безопасности специалисты по безопасности Дэн Камински (Dan Kaminsky) и Moxie Marlinspike.

«Мы настоятельно рекомендуем всем пользователям обновить Firefox до этой последней версии», — заявила  Mozilla на своем сайте.

Уязвимость SSL позволила Marlinspike создать то, что он назвал универсальным символом сертификата, который заставил Firefox подтверждать подлинность каждого домена в Интернете. Он сделал это, применяя обычный сертификат для своего сайта thoughtcrime.org.  В поле commonName он записал сайт как *\0.thoughtcrime.org, заставляя браузер полагать, что это универсальный  допустимый сертификат.

Mozilla заявила, что три других ее продукта — Thunderbird, SeaMonkey и NSS — подвержены тем же нападениям. Предполагают, что исправления для этих приложений поступят в ближайшее время.

Исправление также закрывает другие критические дыры, включая сбои памяти, переполнения в сертификате парсинга и повышение привилегий Chrome из-за неправильного кэширования. Уязвимости оценили критическими, которые, как правило, позволяют злоумышленнику удаленно выполнять вредоносные программы на уязвимых машинах пользователей.

Исправления внесены и выпущена новая версия Firefox 3.5.2. Для тех, кто не способен обновиться до версии 3.5.2 браузера,  выпущено обновление  Firefox  3.0.13. Эти уязвимости распространяются на платформы Windows, Mac и Linux.

Это происходит уже второй раз за 18 дней, когда Mozilla установила и исправила критические ошибки в своем браузере.