Mozilla представила 44 версию браузера Firefox и Firefox Extended Release 38.6 для настольных ОС и мобильной платформы Android. В браузере появилось немало новых фишек, а также разработчики устранили 12 уязвимостей, в том числе три критические.

Обновлений и исправлений новая версия принесла много. С полным перечнем нововведений в Firefox 44 можно ознакомиться здесь. Если же кратко перечислять наиболее важные изменения, получится следующее:

  • Расширения без цифровой подписи пока не будут блокировать. Ввод в строй ужесточенных мер по контролю за аддонами отложен до апреля 2016 года и релиза Firefox 46;
  • Добавлена поддержка Push API и, соответственно, Push-уведомлений;
  • Появилась поддержка формата сжатия данных Brotli;
  • Представлен новый инструмент для мониторинга состояния памяти;
  • Предупреждения о проблемах с сертификатами переделали, теперь они выглядят более убедительно;
  • Браузер отныне информирует пользователя, если страница, содержащая форму ввода паролей, работает по протоколу HTTP (а значит, не является безопасной);
  • Об HTTPS-страницах, поддерживающих исключительно алгоритм RC4, браузер тоже предупредит.

Кроме того, релиз Firefox 44 устраняет 12 уязвимостей, в том числе три с пометкой «critical» и две с пометкой «high».

Первый критический баг связан с работой графической библиотеки ANGLE , обработчика zip-файлов и библиотеки libstagefright. Если последнее название кажется тебе знакомым, это совсем неудивительно. Та же самая библиотека являлась причиной нашумевшей уязвимости Stagefright, обнаруженной в операционной системе Android. Бюллетень безопасности гласит, что эксплуатировать уязвимость в библиотеке libstagefright было возможно с использованием вредоносного MP4-файла, что позволяло злоумышленнику осуществить выполнение произвольного кода в браузере.

Вторым критическим багом названа ошибка переполнения буфера в WebGL, хотя эта проблема могла привести лишь к аварийному завершению работы браузера, но не позволяла удаленно выполнить произвольный код.

Третья и последняя проблема, получившая «критический» статус, объединила в себе сразу несколько уязвимостей в работе памяти, распространяющихся не только на Firefox, но и на другие продукты Mozilla. Согласно бюллетеню, некоторые баги, при определенных условиях, могли привести к нарушению целостности информации в памяти. Разработчики полагают, что если злоумышленник проявил бы достаточное старание, через эти бреши можно было осуществить выполнение произвольного кода. В бюллетене отдельно отмечено, что эксплуатация уязвимостей невозможна через почтовый клиент Thunderbird, так как в нем по умолчанию отключен скриптинг.

Также были исправлены две уязвимости, «высокого» уровня опасности. Одна из проблем позволяла осуществить спуфинг атаку через строку адреса. Вторая ошибка в наборе библиотек Network Security Services ослабляла криптографию в браузере.

Из других изменений, связанных с безопасностью, стоит отметить обещанное еще в сентябре прошлого года прекращение поддержки шифра RC4, а также исключение из списка доверенных 1024-битного корневого сертификата удостоверяющего центра Equifax.



2 комментария

  1. Int

    29.01.2016 at 14:47

    Не очень понял, чем push api отличается от notification api, который уже давно.

    • schoolboy

      29.01.2016 at 20:10

      Push API:
      As long as your browser is running, it can receive notifications from websites, even without having that site open.
      Notification API:
      The Notifications API allows web pages to control the display of system notifications to the end user…
      Так что смысл push api в том, чтобы сервер мог выводить notification подписчику, даже если сайт в браузере не открыт.

Оставить мнение