07.08.2015 08:24
esetnod32 27 12983 Источник
На security-блоге Mozilla появилась информация об обнаруженных кибератаках на пользователей с использованием уязвимости нулевого дня в веб-браузере Firefox. В связи с этим также было опубликовано уведомление безопасности Mozilla Foundation Security Advisory 2015-78 (MFSA2015-78). Сама уязвимость (Same origin violation and local file stealing via PDF reader) не позволяет атакующим удаленно исполнить код в системе пользователя, однако, она позволяет им запустить на исполнение вредоносный скрипт и похитить с его помощью информацию с компьютера пользователя.



Уязвимость связана со встроенным в веб-браузер плагином PDF Viewer, поэтому ОС, для которых Firefox поставляется без этого плагина (напр. Android), эта уязвимость не касается. Сегодня компания выпустила обновление, которое закрывает эту уязвимость. Пользователям следует обновить веб-браузер.

Комментарии (27)


  1. serf
    07.08.2015 11:31
    #8528535
    -1

    > Пользователям следует обновить веб-браузер.

    Думаю в подобных случаях (серьезные проблемы безопасности) браузер сам должен проявлять активность явно напоминая пользователю о необходимости обновления (или сделаь как в win10 обновляния обязательными), ведь не все пользователи читают хабр.


    1. sanzstez
      07.08.2015 11:51
      #8528559
      +3

      Вылезло уведомление о доступности Firefox 39.0.3, сразу обновился… В этом плане Mozilla оперативна.
      www.mozilla.org/en-US/firefox/39.0.3/releasenotes


      1. serf
        07.08.2015 11:54
        #8528563
        -15

        Отлично, рад за пользователей FF, я сам FF уже года 3 как не использую (тормозной стал очень), хотя до этого он был оновным, возможно стоит снова посмотреть на него и вернуться тк пол линуксом хром не всегда мне нравится.


        1. betauser
          09.08.2015 15:01
          #8529965
          +2

          Держите нас в курсе.


    1. ls1
      07.08.2015 11:53
      #8528561

      браузер сам должен проявлять активность

      Полагаю, в статье речь шла о ССЗБ отключающих функцию обновления или игнорирующих уведомления о выходе новых версий. Так то оно по умолчанию настроено автообновляться.


      1. m08pvv
        07.08.2015 15:43
        #8528875
        +5

        Предполагаю, что serf хотел, чтобы браузер не просто мелькал «у меня тут сотый знак после запятой в младшей минорной версии изменился», а что-то типа «внимание! в целях Вашей безопасности рекомендуем срочно обновиться» и краткое описание проблемы со ссылкам на подробное.


        1. serf
          07.08.2015 15:47
          #8528881
          +1

          Да, так чтобы у пользователя не было воможности не заметить
          это сообщение или точнее не понять серьезность обновления. И по умолчанию обновлять автоматом. А кому не нужно автоматом, пускай лезут и выключают это в настройках (каким-нибудь тестировщикам которые допустим должны тестировать под разными версиями).


          1. khim
            08.08.2015 00:41
            #8529375
            +1

            Можно хоть из мегафона кричать — это ничего не изменит, пользователь всё равно найдёт кнопку, которая позволит отложить обновление и пойдёт пялиться на котиков.


        1. TheRabbitFlash
          08.08.2015 00:28
          #8529363
          +3

          После фразы «внимание! в целях Вашей безопасности...» пользователь отвалится, ибо так пишут установщики вирусов (слова знакомого пенсионера веб-серфера).


    1. norlin
      07.08.2015 13:35
      #8528697

      Сижу на beta channel – обновления чуть ли не каждый день прилетают.


      1. ls1
        07.08.2015 14:10
        #8528779

        быть бета-тестером и получать регулярно секьюрити-фиксы это малость не одно и то же


        1. norlin
          07.08.2015 14:23
          #8528805

          Тем не менее, апдейты из стабильного канала должны прилетать точно так же, только реже.


          1. ls1
            07.08.2015 14:26
            #8528811

            Ну да, и прилетают, о том и речь. Бета-тестером становиться для этого вовсе не обязательно.


            1. norlin
              07.08.2015 14:28
              #8528819
              -1

              Я неудачно сформулировал мой первый коммент. Отвечал на это:

              браузер сам должен проявлять активность явно напоминая пользователю о необходимости обновления
              Просто хотел показать, что ФФ очень даже активно напоминает об уведомлениях.


              1. Denai
                07.08.2015 14:46
                #8528841

                Единственный вариант когда мне не приходят обновления автоматом — когда браузер днями открытый висит, но в этом случае всё равно рано или поздно вылезает уведомление мол надо бы уже перезапуститься для обновления


              1. m08pvv
                07.08.2015 15:45
                #8528877
                +3

                Маленькое всплывающее окошко с фразой «Доступна версия 39.0.3» без каких-либо пояснений, что там секьюрити фиксы — это не то, что ожидает увидеть человек в случае секьюрити фиксов баги, которая эксплуатируется злоумышленниками.


                1. norlin
                  08.08.2015 21:19
                  #8529725

                  Выше уже озвучили мою точку зрения. :)


  1. JIghtuse
    07.08.2015 16:15
    #8528913
    +1

    Как бы ни расстраивала политика Mozilla в последнее время, браузера удобнее для себя ещё не нашёл.
    На reddit порекомендовали песочницу firejail, решил попробовать. Пакет есть как минимум для Debian Stretch; из коробки поддерживает firefox, thunderbird, chromium, midori, vlc. Вроде пока устраивает.

    Кто-нибудь пользуется этой песочницей или аналогами? Какие преимущества/недостатки?


  1. JIghtuse
    07.08.2015 16:25
    #8528921
    +2

    Позабавил факт, что скрипты адаптируются под систему и тащат соответствующие файлы:

    В Linux осуществлялась отправка содержимого /etc/passwd, .bash_history, .mysql_history, .pgsql_history, файлов из директории .ssh, настроек remina, Filezilla и Psi+, а также текстовых файлов, в именах которых имеются слова pass и access, и любых shell-скриптов.
    (opennet).

    Интересно, можно ли нагенерить на лету случайных скриптов, чтобы у чуваков место на диске кончилось…


  1. navion
    07.08.2015 16:28
    #8528927

    А кто-нибудь в курсе о каксом сайте шла речь в анонсе?


  1. ZoomLS
    07.08.2015 17:02
    #8528963

    Может распространяли эксплоит с помощью Adsense/Adwords? А то какие-то молодчики научились через него встраивать свой js в рекламные блоки. И Google по всей видимости, до сих пор ничего не предпринимает.


  1. TheRabbitFlash
    07.08.2015 22:29
    #8529281

    Как-то тихо новость прошла. Наверное потому, что тут флеш не виноват.


    1. Pilat
      07.08.2015 22:51
      #8529305

      Ну виноват PDF — всё равно Adobe.


      1. TheRabbitFlash
        07.08.2015 22:54
        #8529311
        +1

        :D Так это виноваты безплагиновые технологии. Конфуз ведь получается и не первый. То в Адроиде нашли уязвимость в html5 video, то тут с PDF просмотрщиком, который встроен в лису и не имеет отношения к Adobe :)


      1. khim
        08.08.2015 00:46
        #8529379
        +1

        В чём именно он виноват, я извиняюсь? Теперь древних греков будем обвинять в том, что они всю безопасность нам своим изобретением алфавита порушили?


  1. Verdoga
    08.08.2015 17:26
    #8529653

    Скажите пожалуйста, а бета версия сильно отличается от стабильной и чем? Можно ли перейти со стабильной сразу на бета? Без переустановки.


  1. TheRabbitFlash
    12.08.2015 10:04
    #8532695

    Все рассказывал, что Flash опасен — пусть почитают это www.welivesecurity.com/2015/08/11/firefox-under-fire-anatomy-of-latest-0-day-attack

    Но почему же Mozilla не рекомендовало до сих пор отключить и JS вместе с Flash?