Mozilla выявила опасность нулевого дня и призвала пользователей обновить браузер

_{Фото: Doug Belshaw/Flickr}

Mozilla Firefox выпустила патч для устранения уязвимости нулевого дня ^[1] под названием CVE-2019-17026. Пользователей призвали срочно загрузить обновление, так как о бреши узнали злоумышленники.

Эту рекомендацию поддержало Агентство по кибербезопасности и безопасности инфраструктуры США. Там отметили, что уязвимость позволяет хакерам получить полный контроль ^[2] над системой жертвы.

«Во вторник 7 января 2020 года китайская компания Qihoo 360 сообщила об уязвимости, которая была использована при атаке на локальную сеть. Мы начали рассылать обновление для Firefox, защищающее от этой уязвимости, следующим утром», — в свою очередь, пояснили в Mozilla.

Выявленная уязвимость была связана с JIT-компилятором IonMonkey для SpiderMonkey, который является одним из ведущих компонентов ядра Firefox. Уязвимость данного типа позволяла злоумышленникам на расстоянии инициировать выполнение произвольного кода на подвергшейся атаке системе.

В версиях браузера Firefox 72.0.1 и ESR 68.4.1 проблема устранена. Если обновления не устанавливаются по умолчанию, и браузер все еще не обновлен, то нужно скачать новую версию принудительно. Кстати, Mozilla выпустила Firefox 72.0.1, новую стабильную версию, всего через несколько дней после Firefox 72.0. В примечании к выпуску исправление безопасности указывается как единственное изменение в новой версии Firefox.

В июне 2019 года Mozilla выпустила обновление безопасности ^[3] для исправления ошибки нулевого дня, которая использовалась для атаки на сотрудников Coinbase и другие криптовалютные организации вместе с другой уязвимостью. Она была описана как уязвимость «удаленного выполнения кода», которая позволяла удаленным злоумышленникам запускать вредоносный код внутри Firefox. Ошибка (CVE-2019-11707) была обнаружена 15 апреля исследователем Google Project Zero, о чем сообщили Mozilla, но компания исправила ее только в июне после того, как группа безопасности Coinbase сообщила о атаках с использованием уязвимости вместе со второй ​​(CVE-2019-11708).

Сотрудники Coinbase получали фишинговые электронные письма, содержащие ссылки на вредоносные сайты. Если они щелкали по ссылкам и посещали сайты в Firefox, то страница загружала и запускала в своих системах info-stealer, которая собирала и удаляла пароли браузера и другие данные.

Атаки были адаптированы как для пользователей Mac, так и для пользователей Windows и продолжались в течение нескольких недель, прежде чем были обнаружены. Coinbase отметила, что они также нацелены на другие криптовалютные организации.

См. также: «Борьба Firefox за будущее веба ^[4]»

В октябре разработчики Firefox представили новые функции браузера ^[5], призванные повысить конфиденциальность пользователей при посещении сайтов и дающие возможность отслеживать, какие веб-ресурсы пытаются собирать персональные данные посетителей. В основу новых функций легла система блокировки сторонних Cookies и криптомайнеров, которая ранее работала «под капотом» Firefox. Если ранее система работала в фоновом режиме, то теперь пользователи могут сами наблюдать, какие именно сайты и социальные сети пытались собрать информацию о них. Кроме того, Mozilla расширила защиту пользователей ^[6] браузера Firefox от атак с попытками внедрения вредоносного кода, сосредоточившись на удалении «потенциально опасных артефактов» в исходном коде Firefox.

См. также: «Браузеру Firefox – 15 лет: взлёт, падение и ренессанс с упором на конфиденциальность ^[7]»

Кроме того, как сообщалось осенью, теперь новые версии Firefox будут выходить раз в четыре недели, поэтому проектам на базе Firefox, таким как SpiderMonkey и Tor, тоже придется ускорить частоту выпусков ^[8], если они хотят пользоваться актуальной версией.

Автор: maybe_elf

Источник ^[9]