Mozilla выпустила важное обновление веб-браузера Firefox для исправления критической уязвимости, которая позволяет злоумышленникам удаленно выполнять вредоносный код на компьютерах, на которых установлена ??уязвимая версия браузера.
Критическая уязвимость (CVE-2018-5124) может привести к выполнению кода в системе при открытии определённым образом подготовленных HTML-фрагментов, в которых используются дополнительные атрибуты управления интерфейсом. Суть уязвимости в возможности inline-подстановки JavaScript-кода через данные элементы, который будет выполнены на привилегированном уровне, отвечающем за формирование интерфейса браузера (chrome-privileged).
«Успешное использование уязвимости может позволить злоумышленнику выполнить произвольный код с привилегиями пользователя. Если пользователь имеет повышенные привилегии, злоумышленник может полностью скомпрометировать систему», — говорится в рекомендациях по безопасности от компании Cisco.Злоумышленник может получить возможность устанавливать программы, создавать новые учетные записи с полными правами пользователя, просматривать, изменять или удалять данные.
Однако, если браузер настроен на меньшее количество прав пользователя в системе, использование этой уязвимости может оказать менее негативное влияние на безопасность пользователя.
В число уязвимых версий браузера входят Firefox 56 (.0, .0.1, .0.2), 57 (.0, .0.1, .0.2, .0.3, .0.4) и 58 (.0). Уязвимость была устранена в Firefox 58.0.1, и ее можно загрузить с официального сайта компании.
CVE-2018-5124, обнаруженая разработчиком Mozilla Johann Hofmann, не влияет на версии браузера Firefox для Android и Firefox 52 ESR.
Пользователям рекомендуется применить обновление программного обеспечения до того, как хакеры начнут использовать эту возможность, и не открывать ссылки, в письмах электронной почты или сообщениях, если они получены из подозрительных источников.
Системным администраторам также рекомендуется использовать непривилегированную учетную запись при просмотре страниц в Интернете.
Firefox Quantum
Обновление подготовлено спустя неделю после того, как компания выпустила свой новый браузер Firefox Quantum (Firefox 58). Firefox 58.0 разрабатывался на протяжении последних двух месяцев. За это время инженеры Mozilla добавили компиляцию потоковой передачи и новый двухуровневый компилятор, предназначенный для улучшения производительности WebAssembly. Кроме того, Firefox теперь научился автоматически заполнять поля реквизитов банковских карт, а для пользователей MacOS была добавлена поддержка WebVR.
Среди других улучшений — оптимизация скорости загрузки страниц за счет реализации техники кэширования внутреннего представления JavaScript и ускорение рендеринга веб-страниц в Windows за счет интеграции технологии Off-Main-Thread Painting.
Firefox 58 являлся первым релизом браузера, который по умолчанию поставляется с исправлениями безопасности для уменьшения риска атак Meltdown и Spectre. Однако, в системах со старыми процессорами возможны неполадки.
P.S.
Так как зашла речь об уязвимостях процессоров, стоит отметить, что исследователи из компании AV-TEST на сегодняшний день обнаружили по крайней мере 139 образцов вредоносных программ, которые связаны с попытками эксплуатации Meltdown и Spectre. Прирост числа обнаруженных подобных вирусов показан ниже на графике и говорит о том, что злоумышленники активно работают в этом направлении.
По ссылке вы можете найти хэши SHA256 для всех образцов вредоносных программ.
Комментарии (40)
dartraiden
01.02.2018 15:34+1Firefox 58 являлся первым релизом браузера, который по умолчанию поставляется с исправлениями безопасности для уменьшения риска атак Meltdown и Spectre.
Формально — нет, защита появилась в 57.0.4.
jauseg
01.02.2018 16:31Подскажите, пожалуйста, можно как-нибудь установить так, чтобы интерфейс от 56 версии остался? Может быть достаточно какие-нибудь dll от 58 взять?
Kwisatz
02.02.2018 00:58Зря вы так. Я тоже сначала плевался а теперь мне очень нравиться. Более того он какой то дико шустрый стал на фоне хрома и прочих
CaptainFlint
02.02.2018 02:06Интерфейс, может, и нормальный, но уничтожение всех расширений по работе с вкладками, горячими клавишами и прочими вещами — это, увы, не всем подходит.
Skerrigan
02.02.2018 05:50Работаем над этим — буквально этой ночью пришло уведомление о том, что моя заявка на расширение API принята и начат поиск решения по проблеме.
Конкретно я «работаю» над проблемой адресной строки (URL corrector, как пример, для блокировки раскладки… чтобы была возможность вводить только латиницу в адресную строку — а то постоянно сменять раскладку накаляет просто люто-бешено).
Есть люди, что лоббируют расширение API для работы с клавиатурой в рамках хоткеев.
Так же ведутся переговоры по теме вкладок.DrZlodberg
02.02.2018 09:46Надеюсь возможность группировки вкладок туда входит? А то как-то грустно теперь стало. Сижу на 57 из-за этого. :(
Skerrigan
02.02.2018 10:56Я ярый фанат группировок вкладок. TabUtilities эту роль выполнял ранее.
Да, над этим «колдуем». Возможно в течение года что-то и выйдет. API выбивать нужные очень трудно… сожалею.
Сейчас лично я использую OneTab — костыльная замена. Если будут вопросы по ней, пишите в ЛС.DrZlodberg
02.02.2018 11:14Года? Печально. И зачем надо было удалять эту возможность из самой фоксы…
Похоже придётся на букмарки переходить.
OneTab по описанию как-то очень костыльно.Skerrigan
02.02.2018 12:40Поймите, это не «сиюминутные хотелки» — требуются согласования на самом высоком уровне (W3C). Каждая малейшая правка в API WebExtension требует самого детального рассмотрения.
И зачем надо было удалять эту возможность из самой фоксы
Не удаляли — движок по сути дела новый, тут этого просто никогда и не было.
Поэтому и ведем диспуты о том, чтобы уже на новом движке добавляли необходимые инструментарии.
Как-то так…DrZlodberg
02.02.2018 12:46Да я всё прекрасно понимаю. Сами так-же работаем Сначала что-то сделаем по новому стандарту, а потом долго и нудно согласовываем со всеми, чтобы исправить. Но всё равно печально.
CaptainFlint
02.02.2018 11:59Спасибо! Надеюсь, когда-нибудь Fx обретёт прежний уровень возможностей. Но до тех пор, видимо, придётся сидеть на чём-нибудь вроде Pale Moon.
Stanislavvv
02.02.2018 15:51То есть, будет невозможно ввести адреса типа «президент.рф» или ещё что-то подобное?
Skerrigan
02.02.2018 18:41Ок, капельку расскажу подробней, чтобы лишний раз не переживали:
Сейчас в браузере есть такая часть интерфейса, куда мы можем делать ввод информации. Кто-то её называет «адресной строкой», кто-то «омнибокс».
По факту, на уровне реализации, это два-в-одном. Адресная строка выполняет только старую роль. За поиск отвечает подсистема «омнибокса».
Практически с самого начала разработчики Quantum решили, что будут в первую очередь закладывать реализацию наименее проблемных «узлов»/«подсистем». А вот все спорное уже потом, и «быть может».
Некоторый уровень работы с интерфесом и, в частности, с омнибоксом заложен был исходно. Поэтому визуально, в том же «универсальном поле ввода», сейчас на уровне API можно добавить какую-то кнопку. Поэтому можно туда добавить «переключатель» вида… скажем «замочка» (закрыт — only english, открыт — принимаем текущую раскладку клавиатуры).
И да, скажем так, на последок — я пытаюсь восстановить уже ранее существовавшее дополнение. Это не функционал «из коробки» принудительного характера. Его будут ставить те, кому он нужен. И кто понимает «что это и за чем».
Да и без confirmation popup с предупреждением об отслеживании «адресного бара» это не дадут выпустить в свет более (по крайней мере переговоры ведутся сейчас с этим условием).
Я правила игры принимаю и готов по ним дальше шагать рука об руку с любимым браузером. У меня нет цели как-то что-то воровать от данных юзеров. Все подобные плагины будут проверять с особым пристрастием (это из того, как я вижу сейчас движуху вокруг API). Моя цель (личная) — улучшить UX. Над этим и «сижу».bopoh13
02.02.2018 21:00Искал расширение с «замочком» на EN раскладку в адресной строке, но ничего не нашёл кроме Я.бар, который ставить не собираюсь. Видимо, проще щёлкнуть Tab после Ctrl+P.
artemisia_borealis
01.02.2018 17:42Для браузера Seamonkey, кстати, пока что-то нет обновления. Хотя тоже Mozilla.
Там, вообще, пока внутри Firefox/49.0 (SeaMonkey/2.46)
ildarz
01.02.2018 19:34исследователи из компании AV-TEST на сегодняшний день обнаружили по крайней мере 139 образцов вредоносных программ, которые связаны с попытками эксплуатации Meltdown и Spectre.
А есть ли среди этих попыток успешная, они не говорят?
iassasin
01.02.2018 21:39Был бы рад обновиться и до 58, и 58.0.1, но сдерживает один нюанс: если на Ubuntu 16.04 с дровами amdgpu-pro открыть вкладку с определенным сайтом, например, hh.ru или pogoda.yandex.ru, то вкладка роняет весь процесс, в котором крутится, причем в dmesg выводится сообщение об ошибке где-то в недрах amdgpu_dri.so. Список «падающих» сайтов точно не известен, как и конкретный контент, рендер которого вызывает крах. Тестил сначала на версии видеодров 17.10, обновил до 17.30 — то же самое.
Получается, что FF 58 не справляется с основной своей обязанностью — отображать сайты, и держать постоянно открытый по соседству хром ради таких особых сайтов как-то не хочется.
Подскажите, ни у кого не было такого? Или мне стоит копать в своей системе?
monah_tuk
02.02.2018 05:13У меня периодически главный процесс FF начинает отжирать 100% одного ядра CPU, как лечить и условий возникновения проблемы толком понять не могу.
Ну и роняется вкладка на страницах LJ. Хотя это просто повод туда не ходить :)
DrZlodberg
02.02.2018 09:49Похожая фигня была из-за расширения Stylish. В произвольный момент без какой либо системы. В итоге пришлось от него отказаться из-за этого.
Попробуйте поотключать расширения, вполне возможно он не один такой.monah_tuk
04.02.2018 02:53Спасибо за наводку. Расширений практически нет, но попробую. Правда без uBlock боюсь даже страницы открывать.
Methos
02.02.2018 10:47Да ладно вам паниковать.
Через пару месяцев напишут
Обновите ваш Firefox до версии 62.0.1, ибо в версии 58.0.1 была найдена страшная уязвимость, которая МОЖЕТ привести к катастрофе, снежной буре и прочему чему-то, блабалабал
SinsI
02.02.2018 12:19И что делать тем, кто из-за отрубания старых плагинов сидит на 56?
Vindicar
02.02.2018 12:26Надеюсь, в 52.6 ESR ветку добавят патч.
Убийство всех расширений, включая юзерскрипты (старые для Greasemonkey перестали работать, придется переписывать) — это не тот шаг, на который я готов пойти. Во всяком случае, пока для всех расширений обновления не выйдут.
Pongo
02.02.2018 21:30включая юзерскрипты (старые для Greasemonkey перестали работать, придется переписывать)
Попробуйте Tampermonkey (он уже есть под фф) — у меня в нем все юзерскрипты работают.
А разрабы Greasemonkey, вроде бы как, зачем-то поменяли названия GM_* функций (тут могу ошибаться).
rt3879439
Каждый раз сразу после выхода версии *.0 вскоре выходит *.0.1 с исправлением критической уязвимости. Во мне начинает просыпаться параноик.
dartraiden
Уязвимости подвержены и 56/57. Поэтому, нельзя сказать, что она была внесена в 58.0
Akon32
Это не ново. Больше изменений — больше багов.
Если ПО запускается в действительно критичной системе, кажется логичным не переходить на *.0.0 сразу после выхода версии, а некоторое время ждать патчей
для патчей.bopoh13
В блоге Каспера писали, что в FF58 обещали сделать отключаемой Canvas Fingerprint.
Листаю настройки… тщетно.
bopoh13
Похоже, настройка давно существует. Только без разрешения передачи данных не работает опция «Сделать скриншот».