Mozilla представила 44 версию браузера Firefox и Firefox Extended Release 38.6 для настольных ОС и мобильной платформы Android. В браузере появилось немало новых фишек, а также разработчики устранили 12 уязвимостей, в том числе три критические.

Обновлений и исправлений новая версия принесла много. С полным перечнем нововведений в Firefox 44 можно ознакомиться здесь. Если же кратко перечислять наиболее важные изменения, получится следующее:

  • Расширения без цифровой подписи пока не будут блокировать. Ввод в строй ужесточенных мер по контролю за аддонами отложен до апреля 2016 года и релиза Firefox 46;
  • Добавлена поддержка Push API и, соответственно, Push-уведомлений;
  • Появилась поддержка формата сжатия данных Brotli;
  • Представлен новый инструмент для мониторинга состояния памяти;
  • Предупреждения о проблемах с сертификатами переделали, теперь они выглядят более убедительно;
  • Браузер отныне информирует пользователя, если страница, содержащая форму ввода паролей, работает по протоколу HTTP (а значит, не является безопасной);
  • Об HTTPS-страницах, поддерживающих исключительно алгоритм RC4, браузер тоже предупредит.

Кроме того, релиз Firefox 44 устраняет 12 уязвимостей, в том числе три с пометкой «critical» и две с пометкой «high».

Первый критический баг связан с работой графической библиотеки ANGLE , обработчика zip-файлов и библиотеки libstagefright. Если последнее название кажется тебе знакомым, это совсем неудивительно. Та же самая библиотека являлась причиной нашумевшей уязвимости Stagefright, обнаруженной в операционной системе Android. Бюллетень безопасности гласит, что эксплуатировать уязвимость в библиотеке libstagefright было возможно с использованием вредоносного MP4-файла, что позволяло злоумышленнику осуществить выполнение произвольного кода в браузере.

Вторым критическим багом названа ошибка переполнения буфера в WebGL, хотя эта проблема могла привести лишь к аварийному завершению работы браузера, но не позволяла удаленно выполнить произвольный код.

Третья и последняя проблема, получившая «критический» статус, объединила в себе сразу несколько уязвимостей в работе памяти, распространяющихся не только на Firefox, но и на другие продукты Mozilla. Согласно бюллетеню, некоторые баги, при определенных условиях, могли привести к нарушению целостности информации в памяти. Разработчики полагают, что если злоумышленник проявил бы достаточное старание, через эти бреши можно было осуществить выполнение произвольного кода. В бюллетене отдельно отмечено, что эксплуатация уязвимостей невозможна через почтовый клиент Thunderbird, так как в нем по умолчанию отключен скриптинг.

Также были исправлены две уязвимости, «высокого» уровня опасности. Одна из проблем позволяла осуществить спуфинг атаку через строку адреса. Вторая ошибка в наборе библиотек Network Security Services ослабляла криптографию в браузере.

Из других изменений, связанных с безопасностью, стоит отметить обещанное еще в сентябре прошлого года прекращение поддержки шифра RC4, а также исключение из списка доверенных 1024-битного корневого сертификата удостоверяющего центра Equifax.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии