Новости Firefox Опции

[hook]

В Firefox 67 исправлена 21 уязвимость



Две уязвимости обозначены как критические и позволяют выполнить на атакуемой системе произвольный код. С выходом новой версии Firefox 67 компания Mozilla исправила в своем браузере 21 уязвимость. Две из них отмечены как критические, одиннадцать являются опасными, шесть – средней опасности и две – неопасными. Самые опасные из исправленных уязвимостей связаны с памятью и позволяют злоумышленникам получить полный контроль над уязвимой системой. Первая из них (CVE-2019-9800) затрагивает Firefox 66 и Firefox ESR (версию Firefox с расширенной поддержкой). «Некоторые из этих багов продемонстрировали признаки повреждения памяти, и мы предполагаем, что, если приложить достаточно усилий, некоторые из них можно проэксплуатировать для выполнения произвольного кода», – сообщается в бюллетене Mozilla. Вторая критическая уязвимость (CVE-2019-9814) затрагивает только Firefox 66, но не Firefox ESR. Как и CVE-2019-9800, она позволяет выполнить на атакуемой системе произвольный код. Технические подробности об уязвимостях не раскрываются, и неизвестно, можно ли проэксплуатировать их удаленно. Что касается новых функций безопасности, то Firefox 67 теперь блокирует скрипты для майнинга криптовалюты и не дает сайтам снимать цифровые отпечатки. Кроме того, в анонимном режиме появилась возможность использования сохраненных паролей и отключения/включения расширений.

securitylab.ru

Обновите браузер Firefox

[hook]

В Firefox может появиться сверхприватный режим



Организация Mozilla хочет профинансировать разработчиков, которые помогут ей решить один из 12 особых вопросов по развитию браузера. Последний из 12 вопросов самый интересный, поскольку предполагает интеграцию множества функций Tor в Firefox. В результате проведенной работы должен появиться режим «Сверхприватного браузинга» (Super Private Browsing или SPB), который обеспечит высочайший уровень анонимности для противостояния системам «массового наблюдения, отслеживания и негласной идентификации». При этом организация отмечает ряд трудностей при разработке режима SPB. Они связаны с тем, что при его включении сеть Tor получит множество новых пользователей, а потому сеть потребует новый протокол, который обеспечит необходимое масштабирование. Важным является исследование вопросов «альтернативных протокольных архитектур» и «протоколов выбора маршрутов», которые должны быть внедрены для обеспечения быстрой работы сети Tor. Если эти вопросы удастся решить, то пользователи могут надеяться на интеграцию Tor в Firefox.

nvworld.ru

[hook]

Внеплановое обновление Firefox 67.0.3 устраняет критическую 0Day-уязвимость



Баг уже эксплуатируется в реальных атаках. Инженеры Mozilla выпустили обновления браузера Firefox (Firefox 67.0.3 и Firefox ESR 60.7.1), исправляющие уязвимость удаленного выполнения кода (CVE-2019-11707), которая уже эксплуатируется в реальных атаках. Согласно скупому описанию на сайте компании, проблема представляет собой уязвимость типа type confusion (несоответствие используемых типов данных), которая позволяет вызвать «эксплуатируемый сбой в работе браузера» при выполнении вредоносного JavaScript-кода. Баг связан с обработкой типов в методе Array.pop и может использоваться для перехвата контроля над системой с установленными уязвимыми версиями браузера.
В настоящее время другие подробности об уязвимости неизвестны. Пользователям рекомендуется установить обновления как можно скорее:

Firefox 67.0.3 для 64-разрядной версии Windows

Firefox 67.0.3 для 32- разрядной версии Windows

Firefox 67.0.3 для macOS

Firefox 67.0.3 для 64-разрядной версии Linux

Firefox 67.0.3 для 32-разрядной версии Linux

securitylab.ru

[hook]

В Firefox исправлена вторая за неделю уязвимость нулевого дня



О проблеме стало известно, когда ее начали использовать в атаках вместе с предыдущей исправленной уязвимостью. В браузере Firefox на этой неделе исправлена уже вторая уязвимость нулевого дня. Проблема, получившая идентификатор CVE-2019-11708, представляет собой обход песочницы и связана с ранее исправленной уязвимостью (CVE-2019-11707) типа type confusion (несоответствие используемых типов данных). CVE-2019-11708 позволяет злоумышленнику удаленно выполнить произвольный код на системе жертвы, заманив ее на вредоносный сайт. «По причине недостаточной проверки параметров в сообщениях Prompt:Open IPC между дочерним и родительским процессами родительский процесс за пределами песочницы может открывать web-контент, выбранный скомпрометированным дочерним процессом», - сообщается в уведомлении безопасности компании Mozilla. О первой исправленной на этой неделе уязвимости производителю стало известно еще в апреле нынешнего года от исследователя из Google Project Zero. Тем не менее, о второй проблеме Mozilla узнала лишь на прошлой неделе, когда киберпреступники стали эксплуатировать ее в связке с первой для атак на пользователей криптовалютной платформы Coinbase. Исследователь безопасности Патрик Уордл также выявил отдельную кампанию с использованием первой уязвимости в атаках на пользователей macOS. Сложно сказать, обнаружили ли киберпреступники уязвимость самостоятельно, и атаки просто совпали с публикацией отчета о ней, или же они взяли ее на вооружение, каким-то образом заполучив в свои руки отчет. Обе вышеупомянутые уязвимости исправлены в версиях Firefox 67.0.4 и Firefox ESR 60.7.2. В базирующемся на Firefox браузере Tor первая проблема устранена в версии 8.5.2. Ожидается, что в скором времени выйдет еще одно обновление, исправляющее уже второй баг.

securitylab.ru

[hook]

Mozilla тестирует генератор паролей в Firefox



Новый функционал станет доступен с выходом версии Firefox 69, запланированным на осень 2019 года. Инженеры Mozilla проводят тестирование новой функции генерирования паролей, которая должна появиться в версии Firefox 69, запланированной к выходу в сентябре нынешнего года. Google реализовала аналогичную функцию в Chrome еще осенью прошлого года с выпуском Chrome/Chromium 69. В настоящее время новый функционал доступен только в сборке Firefox Nightly. Для того чтобы активировать генератор паролей в Firefox Nightly, нужно включить две настройки в разделе about:config - signon.generation.available и signon.generation.enabled. После этого в настройках безопасности появится опция «Предлагать и генерировать сильные пароли». После выставления флажка в данном чекбоксе браузер при двойном клике на поле пароля начнет предлагать создать его автоматически. Как ранее писал SecurityLab, команда Firefox также тестирует новые функции безопасности для защиты пользователей от криптоджекинга и слежки со стороны сайтов. Новые функции доступны в версиях Firefox 68 Nightly и Firefox 67 Beta.

securitylab.ru

[hook]

В Firefox исправлена проблема, приводящая к конфликту антивирусов с HTTPS-сайтами



В версии Firefox 68 будет активирована специальная опция, призванная предотвратить обрыв соединения с HTTPS-сайтами. Спустя более чем полгода инженеры компании Mozilla нашли решение проблемы, из-за которой пользователи сталкивались с невозможностью посещения некоторых сайтов, использующих HTTPS. В версии Firefox 68 появится механизм, автоматически исправляющий определенные TLS-ошибки, часто возникающие при попытке установленного на системе антивирусного ПО перехватить HTTPS-соединение. После выхода версии Firefox 65 многие пользователи начали жаловаться на невозможность получить доступ к некоторым сайтам, работающим по HTTPS. Проблема была связана с установкой антивирусами собственных SSL-сертификатов в хранилища Firefox и Windows, что приводило к нарушению подключения к сайтам. По словам представителей Mozilla, в версии Firefox 68, выход которой запланирован на 9 июля, будет активирована специальная опция в настройках about:config, призванная предотвратить обрыв соединения с HTTPS-сайтами. При активации настройки security.enterprise_roots.enabled Firefox начнет доверять всем сертификатам, импортированным в хранилище ОС «пользователем, администратором или установленной на компьютере программой». Данная настройка будет доступна в версиях Firefox для Windows и macOS. Также отмечается, что она будет активирована по умолчанию

securitylab.ru

[hook]

Продемонстрирован способ хищения файлов через 17-летнюю уязвимость в Firefox



Атака эксплуатирует реализованный в Firefox механизм Same Origin Policy. Независимый эксперт Барак Тавили (Barak Tawily) продемонстрировал, как злоумышленники могут получить доступ к файлам на компьютере с помощью вредоносного HTML-файла и известной уязвимости в браузере Firefox. Атака эксплуатирует реализованный в Firefox механизм Same Origin Policy (политика единого происхождения, SOP) для схемы URI "file://", позволяющий любому файлу в папке на системе получить доступ к другим файлам в той же папке и подпапках. Поскольку точного определения SOP для схемы URI File в документации RFC нет, производители браузеров и программного обеспечения по-разному реализуют ее в своих продуктах. По словам Тавили, Firefox – единственный из основных браузеров, в котором до сих пор используется ненадежная реализация SOP для схемы URI File, а также Fetch API. Как видно в видео ниже, с помощью комбинации кликджекинга и бага «переключения контекста» эксперту удалось получить список файлов, расположенных в той же папке, куда был загружен вредоносный HTML файл, прочитать контент определенных или всех файлов с помощью Fetch API и отправить собранные данные на удаленный сервер. Для успешной атаки злоумышленнику потребуется убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопку. Вся вредоносная деятельность происходит незаметно для пользователя, а сама атака занимает секунды. Тавили сообщил о проблеме инженерам Mozilla, однако в компании заявили, что ее реализация SOP разрешает любому file:// URL получить доступ к файлам в тех же папках и подпапках. Судя по всему, Mozilla не намерена исправлять ситуацию. Альтернативным решением, по мнению Тавили, будет на уровне RFC обязать производителей браузеров использовать более безопасные подходы и не разрешать разработчикам оставлять без исправления ошибки, подвергающие пользователей риску. Политика единого происхождения (правило ограничения домена, Same Origin Policy) - концепция безопасности для некоторых языков программирования на стороне клиента, таких как JavaScript. Политика разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах. Одинаковые источники — источники, у которых совпадают три признака: домен, порт, протокол.

securitylab.ru

[hook]

Firefox начнет сообщать о количестве заблокированных трекеров



ользователи Firefox вскоре смогут увидеть подробные отчеты о количестве заблокированных трекеров с разделением их по типам и с подробным описанием. Помимо самой блокировки трекеров, браузер Mozilla Firefox вскоре будет отображать отчет по количеству заблокированных трекеров на данный момент и за неделю. Информация будет отображаться на вкладке «about: protections», а само новвоведение появится в версии Firefox 69, запланированной к выходу в сентябре 2019 года. С выпуском Firefox 65 Mozilla представила переработанную функцию блокировки контента, позволяющую блокировать трекеры и сторонние файлы cookie. В мае 2019 года был выпущен Firefox 67, в котором появилась защита от отслеживания цифрового отпечатка браузера, а также от криптомайнеров. Текущая версия Firefox поставляется со «Стандартным» режимом блокировки контента. В браузере по умолчанию включена функция Enhanced Tracking Protection (ETP), автоматически блокирующая известные сторонние трекеры. В ночной сборке Firefox 69 Mozilla добавила функцию «Protection Report» («Отчет о защите»), отображающую информацию о типе и количестве заблокированных скриптов за последние 7 дней и об установленном уровне защиты (стандартный, строгий или пользовательский). На данный момент браузер отображает некорректные данные, поскольку функция находится на стадии доработки. Полноценно новая опция заработает в версии Firefox 69.

securitylab.ru

[hook]

Mozilla заблокировала в Firefox сертификаты УЦ DarkMatter



Компанию DarkMatter обвиняют в предоставлении услуг наблюдения и взлома репрессивным режимам на Ближнем Востоке. Менеджер центра сертификации Mozilla Уэйн Тейер (Wayne Thayer) сделал официальное заявление об отказе Mozilla включать корневые сертификаты компании DarkMatter в корневое хранилище браузера Firefox. Фирму DarkMatter обвиняют в предоставлении услуг наблюдения и взлома репрессивным режимам на Ближнем Востоке. Mozilla также внесет в блоклист OneCRL шесть промежуточных сертификатов QuoVadis, которые DarkMatter использовала в качестве временного способа выдачи TLS-сертификатов своим клиентам. Включение корневого сертификата DarkMatter в Firefox предоставил бы компании возможность выдавать TLS-сертификаты для поддельных сайтов, которые браузер расценивал бы как легитимные. Эксперты в области кибербезопасности и правозащитники неоднократно говорили о том, что включение сертификатов в список корневых позволит DarkMatter злоупотребить этим положением для незаконной слежки. Ранее западные СМИ опубликовали ряд материалов, рассказывающих о хакерских операциях, проведенных DarkMatter по поручению правительства ОАЭ против правозащитников, журналистов и иностранных правительств. DarkMatter неоднократно опровергала все обвинения в свой адрес. Представители компании никак не прокомментировали ситуацию относительно решения Mozilla. Mozilla намерена удалить промежуточные сертификаты QuoVadis в будущем обновлении Firefox. После этого все web-сайты, использующие TLS-сертификаты от DarkMatter, будут блокироваться

securitylab.ru

[hook]

Mozilla добавит в Firefox функцию защиты от трекеров Facebook, Twitter и WhatsApp



Ожидается, что новый функционал появится в версии Firefox 70. Компания Mozilla добавит в браузер Firefox новую функцию защиты от трекеров социальных сетей. Функция находится на стадии разработки и будет включена в версию Firefox 70, запланированую к выходу в октябре 2019 года. Как сообщается на сайте Bugzilla, функция защиты от трекеров социальных сетей будет вынесена в отдельную категорию «Трекер социальных сетей» (Social media trackers). Функция будет включена по умолчанию в настройках стандартного уровня защиты, но Firefox не будет принудительно блокировать все трекеры, способные нарушить функциональность сайта. Функция будет блокировать трекеры на доменах, связанных со следующими социальными сайтами или сервисами: Facebook, Occulus, Instagram, Facebook Messenger, WhatsApp, Twitter, TweetDeck, LinkedIn и YouTube. Пользователи смогут просмотреть заблокированные трекеры в разделе Social media trackers на панели Tracking Protection Panel. Ранее SecurityLab сообщил , что Facebook встраивает скрытые коды в загружаемые фотографии и отслеживает связанную с ними активность.

securitylab.ru