Уязвимость в веб-браузере Mozilla Firefox эксплуатируется in-the-wild

    На security-блоге Mozilla появилась информация об обнаруженных кибератаках на пользователей с использованием уязвимости нулевого дня в веб-браузере Firefox. В связи с этим также было опубликовано уведомление безопасности Mozilla Foundation Security Advisory 2015-78 (MFSA2015-78). Сама уязвимость (Same origin violation and local file stealing via PDF reader) не позволяет атакующим удаленно исполнить код в системе пользователя, однако, она позволяет им запустить на исполнение вредоносный скрипт и похитить с его помощью информацию с компьютера пользователя.



    Уязвимость связана со встроенным в веб-браузер плагином PDF Viewer, поэтому ОС, для которых Firefox поставляется без этого плагина (напр. Android), эта уязвимость не касается. Сегодня компания выпустила обновление, которое закрывает эту уязвимость. Пользователям следует обновить веб-браузер.
    ESET NOD32
    Компания
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 27

      –1
      > Пользователям следует обновить веб-браузер.

      Думаю в подобных случаях (серьезные проблемы безопасности) браузер сам должен проявлять активность явно напоминая пользователю о необходимости обновления (или сделаь как в win10 обновляния обязательными), ведь не все пользователи читают хабр.
        +3
        Вылезло уведомление о доступности Firefox 39.0.3, сразу обновился… В этом плане Mozilla оперативна.
        www.mozilla.org/en-US/firefox/39.0.3/releasenotes
          –15
          Отлично, рад за пользователей FF, я сам FF уже года 3 как не использую (тормозной стал очень), хотя до этого он был оновным, возможно стоит снова посмотреть на него и вернуться тк пол линуксом хром не всегда мне нравится.
            +2
            Держите нас в курсе.
          0
          браузер сам должен проявлять активность

          Полагаю, в статье речь шла о ССЗБ отключающих функцию обновления или игнорирующих уведомления о выходе новых версий. Так то оно по умолчанию настроено автообновляться.
            +5
            Предполагаю, что serf хотел, чтобы браузер не просто мелькал «у меня тут сотый знак после запятой в младшей минорной версии изменился», а что-то типа «внимание! в целях Вашей безопасности рекомендуем срочно обновиться» и краткое описание проблемы со ссылкам на подробное.
              +1
              Да, так чтобы у пользователя не было воможности не заметить
              это сообщение или точнее не понять серьезность обновления. И по умолчанию обновлять автоматом. А кому не нужно автоматом, пускай лезут и выключают это в настройках (каким-нибудь тестировщикам которые допустим должны тестировать под разными версиями).
                +1
                Можно хоть из мегафона кричать — это ничего не изменит, пользователь всё равно найдёт кнопку, которая позволит отложить обновление и пойдёт пялиться на котиков.
                +3
                После фразы «внимание! в целях Вашей безопасности...» пользователь отвалится, ибо так пишут установщики вирусов (слова знакомого пенсионера веб-серфера).
              0
              Сижу на beta channel – обновления чуть ли не каждый день прилетают.
                0
                быть бета-тестером и получать регулярно секьюрити-фиксы это малость не одно и то же
                  0
                  Тем не менее, апдейты из стабильного канала должны прилетать точно так же, только реже.
                    0
                    Ну да, и прилетают, о том и речь. Бета-тестером становиться для этого вовсе не обязательно.
                      –1
                      Я неудачно сформулировал мой первый коммент. Отвечал на это:
                      браузер сам должен проявлять активность явно напоминая пользователю о необходимости обновления
                      Просто хотел показать, что ФФ очень даже активно напоминает об уведомлениях.
                        0
                        Единственный вариант когда мне не приходят обновления автоматом — когда браузер днями открытый висит, но в этом случае всё равно рано или поздно вылезает уведомление мол надо бы уже перезапуститься для обновления
                          +3
                          Маленькое всплывающее окошко с фразой «Доступна версия 39.0.3» без каких-либо пояснений, что там секьюрити фиксы — это не то, что ожидает увидеть человек в случае секьюрити фиксов баги, которая эксплуатируется злоумышленниками.
              +1
              Как бы ни расстраивала политика Mozilla в последнее время, браузера удобнее для себя ещё не нашёл.
              На reddit порекомендовали песочницу firejail, решил попробовать. Пакет есть как минимум для Debian Stretch; из коробки поддерживает firefox, thunderbird, chromium, midori, vlc. Вроде пока устраивает.

              Кто-нибудь пользуется этой песочницей или аналогами? Какие преимущества/недостатки?
                +2
                Позабавил факт, что скрипты адаптируются под систему и тащат соответствующие файлы:
                В Linux осуществлялась отправка содержимого /etc/passwd, .bash_history, .mysql_history, .pgsql_history, файлов из директории .ssh, настроек remina, Filezilla и Psi+, а также текстовых файлов, в именах которых имеются слова pass и access, и любых shell-скриптов.
                (opennet).

                Интересно, можно ли нагенерить на лету случайных скриптов, чтобы у чуваков место на диске кончилось…
                  0
                  А кто-нибудь в курсе о каксом сайте шла речь в анонсе?
                    0
                    Может распространяли эксплоит с помощью Adsense/Adwords? А то какие-то молодчики научились через него встраивать свой js в рекламные блоки. И Google по всей видимости, до сих пор ничего не предпринимает.
                      0
                      Как-то тихо новость прошла. Наверное потому, что тут флеш не виноват.
                        0
                        Ну виноват PDF — всё равно Adobe.
                          +1
                          :D Так это виноваты безплагиновые технологии. Конфуз ведь получается и не первый. То в Адроиде нашли уязвимость в html5 video, то тут с PDF просмотрщиком, который встроен в лису и не имеет отношения к Adobe :)
                            +1
                            В чём именно он виноват, я извиняюсь? Теперь древних греков будем обвинять в том, что они всю безопасность нам своим изобретением алфавита порушили?
                          0
                          Скажите пожалуйста, а бета версия сильно отличается от стабильной и чем? Можно ли перейти со стабильной сразу на бета? Без переустановки.
                            0
                            Все рассказывал, что Flash опасен — пусть почитают это www.welivesecurity.com/2015/08/11/firefox-under-fire-anatomy-of-latest-0-day-attack

                            Но почему же Mozilla не рекомендовало до сих пор отключить и JS вместе с Flash?

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое