Mozilla представила 44 версию браузера Firefox и Firefox Extended Release 38.6 для настольных ОС и мобильной платформы Android. В браузере появилось немало новых фишек, а также разработчики устранили 12 уязвимостей, в том числе три критические.
Обновлений и исправлений новая версия принесла много. С полным перечнем нововведений в Firefox 44 можно ознакомиться здесь. Если же кратко перечислять наиболее важные изменения, получится следующее:
- Расширения без цифровой подписи пока не будут блокировать. Ввод в строй ужесточенных мер по контролю за аддонами отложен до апреля 2016 года и релиза Firefox 46;
- Добавлена поддержка Push API и, соответственно, Push-уведомлений;
- Появилась поддержка формата сжатия данных Brotli;
- Представлен новый инструмент для мониторинга состояния памяти;
- Предупреждения о проблемах с сертификатами переделали, теперь они выглядят более убедительно;
- Браузер отныне информирует пользователя, если страница, содержащая форму ввода паролей, работает по протоколу HTTP (а значит, не является безопасной);
- Об HTTPS-страницах, поддерживающих исключительно алгоритм RC4, браузер тоже предупредит.
Кроме того, релиз Firefox 44 устраняет 12 уязвимостей, в том числе три с пометкой «critical» и две с пометкой «high».
Первый критический баг связан с работой графической библиотеки ANGLE , обработчика zip-файлов и библиотеки libstagefright. Если последнее название кажется тебе знакомым, это совсем неудивительно. Та же самая библиотека являлась причиной нашумевшей уязвимости Stagefright, обнаруженной в операционной системе Android. Бюллетень безопасности гласит, что эксплуатировать уязвимость в библиотеке libstagefright было возможно с использованием вредоносного MP4-файла, что позволяло злоумышленнику осуществить выполнение произвольного кода в браузере.
Вторым критическим багом названа ошибка переполнения буфера в WebGL, хотя эта проблема могла привести лишь к аварийному завершению работы браузера, но не позволяла удаленно выполнить произвольный код.
Третья и последняя проблема, получившая «критический» статус, объединила в себе сразу несколько уязвимостей в работе памяти, распространяющихся не только на Firefox, но и на другие продукты Mozilla. Согласно бюллетеню, некоторые баги, при определенных условиях, могли привести к нарушению целостности информации в памяти. Разработчики полагают, что если злоумышленник проявил бы достаточное старание, через эти бреши можно было осуществить выполнение произвольного кода. В бюллетене отдельно отмечено, что эксплуатация уязвимостей невозможна через почтовый клиент Thunderbird, так как в нем по умолчанию отключен скриптинг.
Также были исправлены две уязвимости, «высокого» уровня опасности. Одна из проблем позволяла осуществить спуфинг атаку через строку адреса. Вторая ошибка в наборе библиотек Network Security Services ослабляла криптографию в браузере.
Из других изменений, связанных с безопасностью, стоит отметить обещанное еще в сентябре прошлого года прекращение поддержки шифра RC4, а также исключение из списка доверенных 1024-битного корневого сертификата удостоверяющего центра Equifax.
