Внимание, обновите Firefox до версии 58.0.1 для закрытия критической уязвимости

    image

    Mozilla выпустила важное обновление веб-браузера Firefox для исправления критической уязвимости, которая позволяет злоумышленникам удаленно выполнять вредоносный код на компьютерах, на которых установлена ​​уязвимая версия браузера.

    Критическая уязвимость (CVE-2018-5124) может привести к выполнению кода в системе при открытии определённым образом подготовленных HTML-фрагментов, в которых используются дополнительные атрибуты управления интерфейсом. Суть уязвимости в возможности inline-подстановки JavaScript-кода через данные элементы, который будет выполнены на привилегированном уровне, отвечающем за формирование интерфейса браузера (chrome-privileged).
    «Успешное использование уязвимости может позволить злоумышленнику выполнить произвольный код с привилегиями пользователя. Если пользователь имеет повышенные привилегии, злоумышленник может полностью скомпрометировать систему», — говорится в рекомендациях по безопасности от компании Cisco.
    Злоумышленник может получить возможность устанавливать программы, создавать новые учетные записи с полными правами пользователя, просматривать, изменять или удалять данные.

    Однако, если браузер настроен на меньшее количество прав пользователя в системе, использование этой уязвимости может оказать менее негативное влияние на безопасность пользователя.

    В число уязвимых версий браузера входят Firefox 56 (.0, .0.1, .0.2), 57 (.0, .0.1, .0.2, .0.3, .0.4) и 58 (.0). Уязвимость была устранена в Firefox 58.0.1, и ее можно загрузить с официального сайта компании.

    CVE-2018-5124, обнаруженая разработчиком Mozilla Johann Hofmann, не влияет на версии браузера Firefox для Android и Firefox 52 ESR.

    Пользователям рекомендуется применить обновление программного обеспечения до того, как хакеры начнут использовать эту возможность, и не открывать ссылки, в письмах электронной почты или сообщениях, если они получены из подозрительных источников.

    Системным администраторам также рекомендуется использовать непривилегированную учетную запись при просмотре страниц в Интернете.

    Firefox Quantum


    Обновление подготовлено спустя неделю после того, как компания выпустила свой новый браузер Firefox Quantum (Firefox 58). Firefox 58.0 разрабатывался на протяжении последних двух месяцев. За это время инженеры Mozilla добавили компиляцию потоковой передачи и новый двухуровневый компилятор, предназначенный для улучшения производительности WebAssembly. Кроме того, Firefox теперь научился автоматически заполнять поля реквизитов банковских карт, а для пользователей MacOS была добавлена поддержка WebVR.

    Среди других улучшений — оптимизация скорости загрузки страниц за счет реализации техники кэширования внутреннего представления JavaScript и ускорение рендеринга веб-страниц в Windows за счет интеграции технологии Off-Main-Thread Painting.

    Firefox 58 являлся первым релизом браузера, который по умолчанию поставляется с исправлениями безопасности для уменьшения риска атак Meltdown и Spectre. Однако, в системах со старыми процессорами возможны неполадки.

    P.S.


    Так как зашла речь об уязвимостях процессоров, стоит отметить, что исследователи из компании AV-TEST на сегодняшний день обнаружили по крайней мере 139 образцов вредоносных программ, которые связаны с попытками эксплуатации Meltdown и Spectre. Прирост числа обнаруженных подобных вирусов показан ниже на графике и говорит о том, что злоумышленники активно работают в этом направлении.

    image

    По ссылке вы можете найти хэши SHA256 для всех образцов вредоносных программ.
    Cloud4Y
    #1 Корпоративный облачный провайдер

    Comments 49

      0
      Каждый раз сразу после выхода версии *.0 вскоре выходит *.0.1 с исправлением критической уязвимости. Во мне начинает просыпаться параноик.
        +3
        Уязвимости подвержены и 56/57. Поэтому, нельзя сказать, что она была внесена в 58.0
          +1

          Это не ново. Больше изменений — больше багов.
          Если ПО запускается в действительно критичной системе, кажется логичным не переходить на *.0.0 сразу после выхода версии, а некоторое время ждать патчей для патчей.

            –1
            В блоге Каспера писали, что в FF58 обещали сделать отключаемой Canvas Fingerprint.
            Листаю настройки… тщетно.
              0
              Похоже, настройка давно существует. Только без разрешения передачи данных не работает опция «Сделать скриншот».
            +1
            Firefox 58 являлся первым релизом браузера, который по умолчанию поставляется с исправлениями безопасности для уменьшения риска атак Meltdown и Spectre.

            Формально — нет, защита появилась в 57.0.4.
              0
              Подскажите, пожалуйста, можно как-нибудь установить так, чтобы интерфейс от 56 версии остался? Может быть достаточно какие-нибудь dll от 58 взять?
                –4
                Нет. Привыкайте к фаерхрому
                  0
                    +2
                    Может, 52 ESR?
                      0
                      Зря вы так. Я тоже сначала плевался а теперь мне очень нравиться. Более того он какой то дико шустрый стал на фоне хрома и прочих
                        0
                        Интерфейс, может, и нормальный, но уничтожение всех расширений по работе с вкладками, горячими клавишами и прочими вещами — это, увы, не всем подходит.
                          +3
                          Работаем над этим — буквально этой ночью пришло уведомление о том, что моя заявка на расширение API принята и начат поиск решения по проблеме.

                          Конкретно я «работаю» над проблемой адресной строки (URL corrector, как пример, для блокировки раскладки… чтобы была возможность вводить только латиницу в адресную строку — а то постоянно сменять раскладку накаляет просто люто-бешено).

                          Есть люди, что лоббируют расширение API для работы с клавиатурой в рамках хоткеев.

                          Так же ведутся переговоры по теме вкладок.
                            0
                            Надеюсь возможность группировки вкладок туда входит? А то как-то грустно теперь стало. Сижу на 57 из-за этого. :(
                              0
                              Я ярый фанат группировок вкладок. TabUtilities эту роль выполнял ранее.
                              Да, над этим «колдуем». Возможно в течение года что-то и выйдет. API выбивать нужные очень трудно… сожалею.

                              Сейчас лично я использую OneTab — костыльная замена. Если будут вопросы по ней, пишите в ЛС.
                                0
                                Года? Печально. И зачем надо было удалять эту возможность из самой фоксы…
                                Похоже придётся на букмарки переходить.
                                OneTab по описанию как-то очень костыльно.
                                  0
                                  Поймите, это не «сиюминутные хотелки» — требуются согласования на самом высоком уровне (W3C). Каждая малейшая правка в API WebExtension требует самого детального рассмотрения.

                                  И зачем надо было удалять эту возможность из самой фоксы

                                  Не удаляли — движок по сути дела новый, тут этого просто никогда и не было.

                                  Поэтому и ведем диспуты о том, чтобы уже на новом движке добавляли необходимые инструментарии.

                                  Как-то так…
                                    0
                                    Да я всё прекрасно понимаю. Сами так-же работаем Сначала что-то сделаем по новому стандарту, а потом долго и нудно согласовываем со всеми, чтобы исправить. Но всё равно печально.
                                0
                                Аналогично. Со всем смирился, кроме этого. Использую Tab Groups. За процессом портирования на новый Firefox можно следить вот тут.
                                  0
                                  Благодарю. Будем мониторить.
                                0
                                Спасибо! Надеюсь, когда-нибудь Fx обретёт прежний уровень возможностей. Но до тех пор, видимо, придётся сидеть на чём-нибудь вроде Pale Moon.
                                  0
                                  То есть, будет невозможно ввести адреса типа «президент.рф» или ещё что-то подобное?
                                    0
                                    Ок, капельку расскажу подробней, чтобы лишний раз не переживали:

                                    Сейчас в браузере есть такая часть интерфейса, куда мы можем делать ввод информации. Кто-то её называет «адресной строкой», кто-то «омнибокс».
                                    По факту, на уровне реализации, это два-в-одном. Адресная строка выполняет только старую роль. За поиск отвечает подсистема «омнибокса».

                                    Практически с самого начала разработчики Quantum решили, что будут в первую очередь закладывать реализацию наименее проблемных «узлов»/«подсистем». А вот все спорное уже потом, и «быть может».

                                    Некоторый уровень работы с интерфесом и, в частности, с омнибоксом заложен был исходно. Поэтому визуально, в том же «универсальном поле ввода», сейчас на уровне API можно добавить какую-то кнопку. Поэтому можно туда добавить «переключатель» вида… скажем «замочка» (закрыт — only english, открыт — принимаем текущую раскладку клавиатуры).

                                    И да, скажем так, на последок — я пытаюсь восстановить уже ранее существовавшее дополнение. Это не функционал «из коробки» принудительного характера. Его будут ставить те, кому он нужен. И кто понимает «что это и за чем».
                                    Да и без confirmation popup с предупреждением об отслеживании «адресного бара» это не дадут выпустить в свет более (по крайней мере переговоры ведутся сейчас с этим условием).

                                    Я правила игры принимаю и готов по ним дальше шагать рука об руку с любимым браузером. У меня нет цели как-то что-то воровать от данных юзеров. Все подобные плагины будут проверять с особым пристрастием (это из того, как я вижу сейчас движуху вокруг API). Моя цель (личная) — улучшить UX. Над этим и «сижу».
                                      0
                                      Искал расширение с «замочком» на EN раскладку в адресной строке, но ничего не нашёл кроме Я.бар, который ставить не собираюсь. Видимо, проще щёлкнуть Tab после Ctrl+P.
                                0
                                Только открытие dev-tools всё ещё приводит к тормозам
                              0
                              Для браузера Seamonkey, кстати, пока что-то нет обновления. Хотя тоже Mozilla.
                              Там, вообще, пока внутри Firefox/49.0 (SeaMonkey/2.46)
                                0
                                исследователи из компании AV-TEST на сегодняшний день обнаружили по крайней мере 139 образцов вредоносных программ, которые связаны с попытками эксплуатации Meltdown и Spectre.

                                А есть ли среди этих попыток успешная, они не говорят?

                                  0
                                  Был бы рад обновиться и до 58, и 58.0.1, но сдерживает один нюанс: если на Ubuntu 16.04 с дровами amdgpu-pro открыть вкладку с определенным сайтом, например, hh.ru или pogoda.yandex.ru, то вкладка роняет весь процесс, в котором крутится, причем в dmesg выводится сообщение об ошибке где-то в недрах amdgpu_dri.so. Список «падающих» сайтов точно не известен, как и конкретный контент, рендер которого вызывает крах. Тестил сначала на версии видеодров 17.10, обновил до 17.30 — то же самое.
                                  Получается, что FF 58 не справляется с основной своей обязанностью — отображать сайты, и держать постоянно открытый по соседству хром ради таких особых сайтов как-то не хочется.
                                  Подскажите, ни у кого не было такого? Или мне стоит копать в своей системе?
                                    0
                                    У знакомого былое нечто подобное при просмотре сайтов с WebGL
                                      0

                                      У меня периодически главный процесс FF начинает отжирать 100% одного ядра CPU, как лечить и условий возникновения проблемы толком понять не могу.


                                      Ну и роняется вкладка на страницах LJ. Хотя это просто повод туда не ходить :)

                                        +1
                                        Похожая фигня была из-за расширения Stylish. В произвольный момент без какой либо системы. В итоге пришлось от него отказаться из-за этого.
                                        Попробуйте поотключать расширения, вполне возможно он не один такой.
                                          0

                                          Спасибо за наводку. Расширений практически нет, но попробую. Правда без uBlock боюсь даже страницы открывать.

                                            0

                                            Судя по всему, дело действительно в расширении, и что печально — uBlock Origin. С выключенным оным уже несколько дней по причине потребления 100% CPU Firefox не приходилось убивать.

                                              0
                                              Там что-то странное сотворили с расширениями. Многие из них порой такое творят. Причём некоторые разово, а некоторые постоянно. У меня вчера как раз tab grops внезапно сожрал 2Гб оперативки секунд за 15 и проц загрузил на 30% где-то. Фиг знает, что это было.
                                              Увы, такова печальная реальность. Любое расширение может грохнуть фоксу (по крайней мере старую. что там в 58 — хз)
                                                0

                                                Ну новым меньше прав на это дали. Но всё равно что-то идёт всё равно не так. У меня это на 58.0.1 и nightly.

                                          0
                                          Нашел багрепорт, оказывается, еще два месяца назад про него было известно, но регулярные крэшрепорты появились только накануне релиза.
                                          +1
                                          Да ладно вам паниковать.

                                          Через пару месяцев напишут

                                          Обновите ваш Firefox до версии 62.0.1, ибо в версии 58.0.1 была найдена страшная уязвимость, которая МОЖЕТ привести к катастрофе, снежной буре и прочему чему-то, блабалабал

                                            +2
                                            И что делать тем, кто из-за отрубания старых плагинов сидит на 56?
                                              0
                                              Надеюсь, в 52.6 ESR ветку добавят патч.
                                              Убийство всех расширений, включая юзерскрипты (старые для Greasemonkey перестали работать, придется переписывать) — это не тот шаг, на который я готов пойти. Во всяком случае, пока для всех расширений обновления не выйдут.
                                                +1
                                                Зачем патч? В статье ж написано:

                                                В число уязвимых версий браузера входят Firefox 56 (.0, .0.1, .0.2), 57 (.0, .0.1, .0.2, .0.3, .0.4) и 58 (.0).
                                                  0
                                                  Виноват, проглядел. =)
                                                  0
                                                  включая юзерскрипты (старые для Greasemonkey перестали работать, придется переписывать)

                                                  Попробуйте Tampermonkey (он уже есть под фф) — у меня в нем все юзерскрипты работают.


                                                  А разрабы Greasemonkey, вроде бы как, зачем-то поменяли названия GM_* функций (тут могу ошибаться).

                                                0
                                                Для 52 тоже патч есть, или там уязвимости нет?
                                                –2
                                                Firefox Quantum

                                                Внимание, обновите Firefox до версии 58.0.1

                                                Внимание, идите пожалуйста науй со своим хромофоксом.
                                                Король Firefox погиб, да здравствует король PaleMoon!
                                                  0
                                                  Утверждаете, что PaleMoon 27.8.1 (на github директория chrome имеется) будет меньше тормозить, чем Firefox 59.0.1?
                                                    0
                                                    Жалко XUL. На нём такие удобные интерфейсы были в расширениях.
                                                    На Web-extensions тоже можно сделать удобно, но сейчас сделали наспех (например, редактор правил в ABP). Может, лет через 5 допилят до того уровня, что был достигнут у старых расширений, развивавшихся много лет. Тогда можно будет и обновиться :)
                                                      0
                                                      Да, компактные можно было рисовать. Обещали установить высокий приоритет редактору списка фильтров ABP. С простым текстовым полем отладкой невозможно заниматься. Если затянут — форки появятся, но вот в предыдущей версии расширенные селекторы не работали (без которых динамическую рекламу не вырезать).
                                                      0
                                                      Смотря для какой цели… Если много обычных сайтов, на которых надо блокировать рекламу — PaleMoon лидер. Если тяжёлые «веб-приложения» с тонной JS, заточенные под Chrome — лучше сразу Chrome и взять, не мучаясь. Там тоже блокировщик рекламы нормально работает (uBlock Origin), минус только один — жор памяти.

                                                  Only users with full accounts can post comments. Log in, please.