В минувший вторник появился Firefox 51, выпуск которого положил начало реализации плана Mozilla по защите пользователей от ненадежных HTTP-соединений. При заходе на HTTP-сайт, собирающий персональные данные, к примеру пароли, обновленный браузер предупреждает пользователя, что этот канал плохо защищен.

Отныне в адресной строке Firefox в этом случае будет отображаться серый значок замка, перечеркнутый красной линией. Если кликнуть на этот значок, появится диалоговое окно, сообщающее, что данное соединение ненадежно. По замыслу Mozilla таким же образом браузер со временем будет реагировать на все HTTP-страницы.

«Продолжая пропагандировать использование HTTPS и должным образом оповещать пользователей о рисках, Firefox в итоге будет отображать перечеркнутый значок замка для всех страниц, не использующих HTTPS, чтобы пояснить, что они небезопасны, — гласит блог-запись Mozilla. — По мере исполнения наших планов мы продолжим публиковать новости на эту тему и надеемся, что изменения сподвигнут всех разработчиков сделать нужные шаги к защите интернет-пользователей с помощью HTTPS».

Firefox HTTP warning

Аналогичные меры принимает Google, совершенствуя свой браузер. В конце прошлого года вендор объявил, что с января пользователям Chrome при заходе на некоторые HTTP-сайты будет отображаться предупреждение о небезопасности такого шага.

Во вторник Mozilla также пропатчила ряд критических уязвимостей. Самая опасная из них (CVE-2017-5375) характеризуется как «чрезмерное распределение JIT-кода, позволяющее обойти ASLR и DEP». JIT (just in time) — это дефолтный процесс подачи Java-запросов, позволяющий запускать на исполнение скомпилированный байт-код напрямую, без предварительной интерпретации кода. Согласно Mozilla, обход защитных механизмов в данном случае открывает возможность для атак с целью нарушения целостности памяти.

Уязвимость use-after-free CVE-2017-5376 проявляется при преобразовании структуры документов формата XSLT. Критический баг порчи памяти CVE-2017-5377 крылся в Skia, библиотеке 2D-графики с открытым исходным кодом.

Трем брешам use-after-free присвоена высокая степень опасности; это CVE-2017-5379 в компоненте Web Animations, CVE-2017-5380, проявляющаяся при манипуляциях с DOM SVG-контента, а также CVE-2017-5396 в Media Decoder.

Несколько уязвимостей закрыты также в Firefox ESR, кастомизированной версии браузера, обычно используемой в школах, правительственных учреждениях и в тех бизнес-структурах, для которых принудительное обновление Firefox грозит приостановкой работы приложений, критически важных для рабочих процессов.

Firefox 51 — также первый из основных браузеров, наделенный способностью предупреждать о сайтах, которые не поддерживают цифровые сертификаты, подписанные с использованием SHA-2. Со слов Mozilla, эта возможность пока доступна лишь на бета-версии браузера, но со временем будет развернута и для остальных пользователей.

Категории: Главное, Кибероборона, Уязвимости