Mozilla Firefox da kötü amaçlı kişilerin önemli bilgileri görebilmelerine, güvenlik kısıtlamalarını aşabilmelerine ve kullanıcı sistemine sızabilmelerine yol açan güvenlik açıkları olduğu rapor edildi.

1) .url kısayollarını işlemedeki bir hata yerel cache'deki önemli bilgilerin görülebilmesine yol açıyor. Detaylı bilgi: http://secunia.com/SA32192/
2) HTTP yönlendirme (redirect) isteklerini işlemedeki bir hata aynı-kaynak politikasının (same origin) aşılabilmesine ve başka bir alan adından önemli bilgilere erişilebilmesine yol açıyor.
3) Bir FLash modülünün dinamik olarak hafızadan kaldırılıp kaldırılmadığının test etmede hata olduğu rapor edildi. Bu açıktan, kendisini JavaScript konksiyonu dışından dinamik olarak unload eden bir SWF dosyası ile yararlanılabiliyor.
4) windows.__proto__.__proto__ objesine özel bir değer atayan web sayfası ile native olmayan objeleri kilitlemedeki bir hatadan yararlanılabiliyor.
5) Tarayıcı motorundaki hata hafıza bozulmasına yol açacak şekilde kullanılabilir.
6) JavaScript motorundaki iki hata hafıza bozulmasına yol açacak şekilde kullanılabilir.
7) Tarayıcının geri yükleme özelliğindeki bir hata aynı-kaynak politikasının ihlaline ve farklı bir siteden istenilen JavaScript'in çalıştırılabilmesine yol açıyor.
8) http-index-format MIME tipini işlemedeki bir hata özel hazırlanmış 200 başlık satırı ile istenilen kodun çalıştırılabilmesine izin veriyor.
9) DOM oluşturma kodundaki bir hata biçimlendirilmemiş hafızanın dereference edilebilmesine ve potansiyel olarak bir dosya girişi elementinin bazı özelliklerini modifiye ederek element başlatılmadan istenilen kodun çalıştırılması mümkün olabiliyor.
10) nsXMLHttpRequest::NotifyEventListeners() metodunun implementasyonundaki bir hata farklı bir siteden JavaScript kodu çalıştırılabilmesine izin veriyor.
11) -moz-binding CSS özelliğini işlemedeki bir hata imzalanmış JAR dosyalarında değişiklik yapabilmeye ve farklı siteden JavaScript kodu çalıştırılabilmesine izin veriyor.
12) Bir E4X dokümanının default XML namespace bilgisini parse etmedeki hata tırnak karakterleri içeren özel hazırlanmış bir namespace ile istenilen XML kodunun enjekte edilebilmesine izin veriyor.

Açıkların 2.0.0.18 öncesi sürümleri etkilediği rapor edildi.

Çözüm:
2.0.0.18 veya üzerine güncelleyin:
http://www.mozilla.com/en-US/firefox/all-older.html

Açıkları bulanlar:
1) TopsecTianRongXin'den Liu Die Yu
2) Georgi Guninski, Michal Zalewski ve Chris Evans
3) ZDI ile rapor edilen anonim bir araştırmmacı
4) Jesse Ruderman
5) Daniel Veditz
6) Bob Clary ve Joachim Kuebart
7) David Bloom ve moz_bug_r_a4
8) IBM X-Force'dan Justin Schuh
9) team509'dan ling and wushi, ZDI ile rapor edildi
10) moz_bug_r_a4
11) Collin Jackson
12) Chris Evans

Orjinal Güvenlik Duyuruları
http://www.mozilla.org/security/announce/2008/mfsa2008-51.html
http://www.mozilla.org/security/announce/2008/mfsa2008-52.html
http://www.mozilla.org/security/announce/2008/mfsa2008-53.html
http://www.mozilla.org/security/announce/2008/mfsa2008-54.html
http://www.mozilla.org/security/announce/2008/mfsa2008-55.html
http://www.mozilla.org/security/announce/2008/mfsa2008-56.html
http://www.mozilla.org/security/announce/2008/mfsa2008-57.html
http://www.mozilla.org/security/announce/2008/mfsa2008-58.html

Kaynak: http://secunia.com/Advisories/32713/