Az utóbbi napokban több böngész-biztonsággal összefüggő hír is napvilágot látott, ezeket igyekszem most néhány mondatban összefoglalni, csak hogy mindenki képben legyen.

A legizgalmasabb események a Google körül zajlottak: megjelent a biztonsági szempontból igen érdekes Chrome első stabilként aposztrofált verziója (ebből blogolok éppen egyébként). Ezzel nagyjából egyidőben a keresőóriás fejlesztői kiadták Böngészőbiztonsági Kézikönyvüket, melyben a böngészők tervezésénél és megvalósításánál felmerülő biztonsági kérdéseket próbálják körüljárni. Érzésem szerint ez akár a böngészőhackereknek is jó kiindulási alapot, ötleteket adhat, ezért érdemes lehet végignyálazni.

A Mozillánál is mozgás van: Kijött a Firefox 3.1 második bétája, aminek örülünk, az viszont minden bizonnyal egy kis zavart okozott az Erőben, hogy lemondott Windows Snyder, aki a cég biztonsági vezetőjeként dolgozott idáig.

Az Internet Explorer frontján pedig szokás szerint áll a bál: a legutóbbi frissítőcsomagból ugyanis kimaradt egy kritikus IE7 sebezhetőség javítása, amit a kínaiak ellenben már aktívan ki is használnak. Az első nyilvános exploit is keletről jött: a knownsec állítólag véletlenül publikálta a kódot, mivel azt hitték, hogy a Microsoft már javított. PoC egyébként van itt és itt is.

Vistán az IE7 védett módba állításával lehet védekezni, más platformokon érdemes alternatív böngészőket használni, amíg a MS végre lép az ügyben.

Aikon megjegyzése: "Mi a francnak kell nekünk Native Client, ha az IE7 ugyanúgy tud natív kódot futtatni?"