Компания Mozilla выпустила очередной набор обновлений для Firefox. В 64-й версии браузера разработчики закрыли 11 уязвимостей, две из которых являются критическими. Большинство других изменений касаются улучшения функциональности — появились система рекомендации расширений, встроенная поддержка функции Near Share в Windows 10 и возможность выбрать несколько вкладок одновременно. Кроме того, Mozilla окончательно отказалась от поддержки сертификатов SSL/TLS компании Symantec и ее дочерних структур.

Утрата доверия к сертификатам Symantec началась в 2015 году, когда компания по ошибке выпустила сертификаты на домены, в том числе google.com, gmail.com и gstatic.com, не получив согласия их владельцев.

В марте 2017-го Google выдвинула против удостоверяющего центра обвинения в повторном нарушении — выпуске 108 ошибочных сертификатов. В ходе расследования, которое проводилось совместно с инженерами Mozilla, цифра выросла до 30 тыс. В том же году разработчики Chrome, Firefox и Safari приняли решение об утрате доверия к SSL- и TLS-сертификатам от Symantec и дочерних GeoTrust, Thawte и RapidSSL.

Изначально планировалось полностью прекратить поддержку сертификатов Symantec в 63-м релизе Firefox, однако на тот момент многие владельцы сайтов не успели обновить или заменить их. В итоге компания отложила процедуру.

Mozilla также сообщила о закрытии найденных уязвимостей. Две из них — CVE-2018-12405 и CVE-2018-12406 — являются критическими. Обе проблемы защиты связаны с ошибками в безопасности доступа к памяти, разработчики обнаружили их в предыдущей версии браузера и Firefox ESR 60.3. Как сообщается в бюллетене, злоумышленники «при достаточно активных усилиях» могут использовать эти бреши для выполнения произвольного кода.

Еще пяти уязвимостям присвоен высокий уровень угрозы. Три из них связаны с переполнением буфера и грозят отказом приложения. Баг CVE-2018-12407 проявляется при работе с модулем VertexBuffer11, CVE-2018-17466 — при обработке графики для веб-страниц с помощью TextureStorage11, CVE-2018-18493 — при рисовании холста с помощью графической библиотеки Skia.

Уязвимость CVE-2018-18492 связана с ошибкой use-after-free. Она возникает из-за обращения по недействительному указателю, что ведет к аварийному завершению работы браузера. Пятый баг CVE-2018-18494 связан с нарушением правила ограничения домена (Same Origin Policy) и позволяет украсть данные.

Остальные изменения в новой версии браузера не связаны с безопасностью. В частности, удалена поддержка предпросмотра RSS-лент, встроена система рекомендаций тех сервисов, дополнений и функций, которые могут вызвать интерес у пользователя в зависимости от посещаемого ресурса. Появилась возможность одновременного выделения сразу нескольких вкладок для их закрепления, добавления в закладки или перемещения.

Помимо этого удалить установленный плагин теперь можно будет через контекстное меню на панели, а пользователи Windows смогут обмениваться ссылками при помощи кнопки Share в контекстном меню действий со страницей. Косвенно затрагивающей защиту можно считать модификацию Task Manager, благодаря которой теперь возможно отслеживать потребляемые вкладками и расширениями мощности, доступом к которым часто злоупотребляют внедренные в сайты майнеры.

Категории: Кибероборона, Уязвимости