olejah
21.09.2016, 22:48
Mozilla, с выпуском Firefox 49 на этой неделе, исправила множество уязвимостей критического и высокого уровня. Среди этих уязвимостей есть недавно обнаруженная проблема с сертификатом, которая позволяла злоумышленникам провести атаку посредника (MitM).
Список (https://www.mozilla.org/en-US/security/advisories/mfsa2016-85/) критических уязвимостей также включает в себя различные ошибки памяти (CVE-2016-5256 и CVE-2016-5257), найденные разработчиками Mozilla. Некоторые из этих брешей могут быть использованы для выполнения произвольного кода.
Несколько уязвимостей переполнения буфера, связанных с работой с пустыми фильтрами во время рендеринга canvas (CVE-2016-5275) и кодирования фрагментов изображения (CVE-2016-5278), также были признаны критическими.
Уязвимость сертификата (http://virusinfo.info/showthread.php?t=204100) также влияла и на браузер Tor, она оценивается как уязвимость высокой степени. Брешь позволяет злоумышленнику провести атаку посредника, если он сможет получить сертификат для addons.mozilla.org. Это может привести к выполнению произвольного кода на целевой системе и не требуется взаимодействия с пользователем.
Эту атаку довольно сложно провести, но эксперты считают, что она может спонсироваться государством. Исследователи подсчитали, что начать массовую атаку против пользователей Tor будет стоить примерно 100 000 $.
Также в Firefox 49 исправлены ошибки высокой степени важности, приводящие к раскрытию информации и выполнению произвольного кода. Кроме этого, исправлены две уязвимости средней степени важности и две низкой.
Mozilla также выпустила Firefox ESR 45.4 (https://www.mozilla.org/en-US/security/advisories/mfsa2016-86/), который устраняет дюжины уязвимостей, включая многие критического и высокого уровня.
Изначально Mozilla планировали выпустить Firefox 13 сентября, но решили в итоге отложить (http://release.mozilla.org/firefox/49/2016/09/13/49-delayed.html) релиз на неделю после обнаружения ошибки, которая способствовала слишком частому отображению сообщения об ошибки.
Список (https://www.mozilla.org/en-US/security/advisories/mfsa2016-85/) критических уязвимостей также включает в себя различные ошибки памяти (CVE-2016-5256 и CVE-2016-5257), найденные разработчиками Mozilla. Некоторые из этих брешей могут быть использованы для выполнения произвольного кода.
Несколько уязвимостей переполнения буфера, связанных с работой с пустыми фильтрами во время рендеринга canvas (CVE-2016-5275) и кодирования фрагментов изображения (CVE-2016-5278), также были признаны критическими.
Уязвимость сертификата (http://virusinfo.info/showthread.php?t=204100) также влияла и на браузер Tor, она оценивается как уязвимость высокой степени. Брешь позволяет злоумышленнику провести атаку посредника, если он сможет получить сертификат для addons.mozilla.org. Это может привести к выполнению произвольного кода на целевой системе и не требуется взаимодействия с пользователем.
Эту атаку довольно сложно провести, но эксперты считают, что она может спонсироваться государством. Исследователи подсчитали, что начать массовую атаку против пользователей Tor будет стоить примерно 100 000 $.
Также в Firefox 49 исправлены ошибки высокой степени важности, приводящие к раскрытию информации и выполнению произвольного кода. Кроме этого, исправлены две уязвимости средней степени важности и две низкой.
Mozilla также выпустила Firefox ESR 45.4 (https://www.mozilla.org/en-US/security/advisories/mfsa2016-86/), который устраняет дюжины уязвимостей, включая многие критического и высокого уровня.
Изначально Mozilla планировали выпустить Firefox 13 сентября, но решили в итоге отложить (http://release.mozilla.org/firefox/49/2016/09/13/49-delayed.html) релиз на неделю после обнаружения ошибки, которая способствовала слишком частому отображению сообщения об ошибки.