Как и обещала компания Mozilla, в конце сентября она выпустила очередное обновление для своего браузера Firefox, в котором устранила почти 50 серьезных уязвимостей, причем некоторые из них получили статус критических.
Недавно мы писали о том, что в самом безопасном веб-обозревателе Tor была обнаружена и устранена очень опасная уязвимость, которая касалась работы сертификата TLS. Эта брешь касалась и сородича Tor — браузера Firefox. Команда The Tor Projeсt поспешила как можно быстрее залатать дыру в своем продукте, чтобы не ставить анонимность пользователей под угрозу. Mozilla же не стала спешить и заплатки для критической уязвимости включила в свое очередное плановое обновление. Эта дыра в веб-обозревателе позволяла совершить атаку посредника и получить удаленный доступ к компьютеру пользователя.
По словам специалистов, выявивших данную брешь, и экспертов Tor, совершить атаку с использованием данной уязвимости очень сложно. Но это под силу группе хакеров или правительственным спецслужбам, которые уже не первый год ломают голову над возможностью взлома Tor и деанонимизации пользователей.
Суть устраненной уязвимости заключалась в том, что при получении доступа к сертификату, злоумышленник замаскирует свой зараженный ресурс под официальный сервис addons.mozilla.org, который используется для загрузки дополнений и обновлений для них. Однако с помощью уязвимости мошенники смогут загружать на компьютер пользователей вместо официальных апдейтов вирусы, выполняющие самые различные функции.
Кроме исправления вышеописанной уязвимости компания включила в обновление заплатки для еще нескольких не менее опасных дыр, которые также могли использоваться для похищения личных данных пользователей. В частности, в предоставленном списке исправленных уязвимостей значится по крайней мере 2 ошибки (CVE-2016-5256 и CVE-2016-5257), которые влияют на работу с памятью. На эти дыры во время своей работы наткнулись сами разработчики компании. Как было установлено, с помощью данных брешей злоумышленники могут получить доступ к любому ПК и удаленно выполнить на нем произвольный код.
Кроме этого, еще две из исправленных уязвимостей были признаны критическими. Речь идет об ошибках CVE-2016-5275 и CVE-2016-5278. Они связаны с переполнением буфера и тоже могут привести к похищению личных данных пользователей браузера.
Вместе с исправлением критических ошибок в браузере Firefox, специалисты поработали также над устранением ошибок средней степени опасности и низкой.
Изначально компания Mozilla планировала выпустить обновление для своего браузера 13 сентября. Но из-за того, что не все вопросы были хорошо проработаны, возникла необходимость продлить работу над новым релизом. В итоге не доработку ушла почти неделя.
В компании настоятельно рекомендуют тем пользователям, которые дорожат собственной безопасностью в Интернете, не пренебрегать необходимостью своевременного обновления веб-обозревателя.