Mozilla heeft een nieuwe versie van Firefox uitgebracht waarin 15 beveiligingslekken zijn verholpen, waarvan vijf zo ernstig dat ze gebruikt kunnen worden om het onderliggende systeem over te nemen. Het gaat om verschillende geheugenproblemen en een probleem dat ontstaan bij het genereren van Certificate Request Message Format (CRMF) requests. Ook via een kwetsbaarheid in de Mozilla Maintenance Service en Mozilla Updater zou een aanvaller willekeurige code op de computer kunnen uitvoeren.
Verder introduceert Firefox 23 ook een 'Mixed Content Blocker', die gebruikers beter tegen afluisteren moet beschermen. De browser blokkeert hiermee HTTP-content die op HTTPS-websites wordt getoond. Een aanvaller kan via een man-in-the-middle-aanval de HTTP-content onderscheppen om zo volledige toegang tot de website te krijgen die de content laadt.
De Mixed Content Blocker blokkeert standaard onveilige actieve content, om Firefox-gebruikers tegen dit soort aanvallen te beschermen. Mozilla merkt op dat er twee soorten Mixed Content zijn, namelijk Mixed Active Content, zoals scripts, en Mixed Passive Content, zoals afbeeldingen. Actieve content wordt als gevaarlijker beschouwd, omdat het het gedrag van de HTTPS-pagina kan aanpassen.
Updaten naar Firefox 23 kan via de browser zelf of Mozila.org. Naast Firefox is er ook een nieuwe versie van e-mailclient Thunderbird verschenen, waarin ook verschillende lekken zijn verholpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.