Фото: Doug Belshaw/FlickrMozilla Firefox выпустила патч для устранения уязвимости нулевого дня под названием CVE-2019-17026. Пользователей призвали срочно загрузить обновление, так как о бреши узнали злоумышленники.
Эту рекомендацию поддержало Агентство по кибербезопасности и безопасности инфраструктуры США. Там отметили, что уязвимость позволяет хакерам получить полный контроль над системой жертвы.
«Во вторник 7 января 2020 года китайская компания Qihoo 360 сообщила об уязвимости, которая была использована при атаке на локальную сеть. Мы начали рассылать обновление для Firefox, защищающее от этой уязвимости, следующим утром», — в свою очередь, пояснили в Mozilla.
Выявленная уязвимость была связана с JIT-компилятором IonMonkey для SpiderMonkey, который является одним из ведущих компонентов ядра Firefox. Уязвимость данного типа позволяла злоумышленникам на расстоянии инициировать выполнение произвольного кода на подвергшейся атаке системе.
В версиях браузера Firefox 72.0.1 и ESR 68.4.1 проблема устранена. Если обновления не устанавливаются по умолчанию, и браузер все еще не обновлен, то нужно скачать новую версию принудительно. Кстати, Mozilla выпустила Firefox 72.0.1, новую стабильную версию, всего через несколько дней после Firefox 72.0. В примечании к выпуску исправление безопасности указывается как единственное изменение в новой версии Firefox.
В июне 2019 года Mozilla выпустила обновление безопасности для исправления ошибки нулевого дня, которая использовалась для атаки на сотрудников Coinbase и другие криптовалютные организации вместе с другой уязвимостью. Она была описана как уязвимость «удаленного выполнения кода», которая позволяла удаленным злоумышленникам запускать вредоносный код внутри Firefox. Ошибка (CVE-2019-11707) была обнаружена 15 апреля исследователем Google Project Zero, о чем сообщили Mozilla, но компания исправила ее только в июне после того, как группа безопасности Coinbase сообщила о атаках с использованием уязвимости вместе со второй (CVE-2019-11708).
Сотрудники Coinbase получали фишинговые электронные письма, содержащие ссылки на вредоносные сайты. Если они щелкали по ссылкам и посещали сайты в Firefox, то страница загружала и запускала в своих системах info-stealer, которая собирала и удаляла пароли браузера и другие данные.
Атаки были адаптированы как для пользователей Mac, так и для пользователей Windows и продолжались в течение нескольких недель, прежде чем были обнаружены. Coinbase отметила, что они также нацелены на другие криптовалютные организации.
См. также: «Борьба Firefox за будущее веба»В октябре разработчики Firefox представили новые функции браузера, призванные повысить конфиденциальность пользователей при посещении сайтов и дающие возможность отслеживать, какие веб-ресурсы пытаются собирать персональные данные посетителей. В основу новых функций легла система блокировки сторонних Cookies и криптомайнеров, которая ранее работала «под капотом» Firefox. Если ранее система работала в фоновом режиме, то теперь пользователи могут сами наблюдать, какие именно сайты и социальные сети пытались собрать информацию о них. Кроме того, Mozilla расширила защиту пользователей браузера Firefox от атак с попытками внедрения вредоносного кода, сосредоточившись на удалении «потенциально опасных артефактов» в исходном коде Firefox.
См. также: «Браузеру Firefox – 15 лет: взлёт, падение и ренессанс с упором на конфиденциальность»Кроме того, как сообщалось осенью, теперь новые версии Firefox будут выходить раз в четыре недели, поэтому проектам на базе Firefox, таким как SpiderMonkey и Tor, тоже придется ускорить частоту выпусков, если они хотят пользоваться актуальной версией.
