На этой неделе Mozilla выпустила Firefox 52, включив в него патчи для 28 уязвимостей, в том числе для тех, которые грозят крэшем и обходом ASLR и DEP. Согласно информационному бюллетеню компании, семь уязвимостей оценены как критические.

Баг обхода ASLR и DEP (CVE-2017-5400) допускает использование комбинации атак JIT spray против JavaScript-подмножества asm.js и heap spray («распыления» шелл-кода по динамической памяти процесса). Обход защиты в данном случае, по свидетельству Mozilla, может повлечь нарушение целостности памяти. Еще несколько критических уязвимостей могут вызвать крэш браузера через использование высвобожденной памяти или логическую ошибку.

Одну из брешей use-after-free обнаружил исследователь из Google Project Zero Иван Фратрик (Ivan Fratric). Эта уязвимость проявляется при «манипулировании диапазонами выбора, когда один узел находится в нативном анонимном дереве, а другой — за его пределами».

Несколько багов, связанных с небезопасным использованием памяти, были найдены разработчиками компании или участниками сообщества. Согласно бюллетеню, некоторые из этих брешей выказывают признаки вероятности порчи памяти, и их «не без труда, но можно» использовать для исполнения произвольного кода.

Бреши низкой степени опасности открывают возможность для атаки на отказ в обслуживании, утечки информации или спуфинга.

Firefox 52 также использует более развернутое предупреждение о HTTP-страницах, небезопасных для ввода регистрационных данных. Это сообщение ныне гласит: «This connection is not secure. Logins entered here could be compromised» («Это соединение ненадежно. Введенные здесь идентификаторы могут быть скомпрометированы»).

Firefox начал предупреждать пользователей о ненадежности HTTP-страниц регистрации с января. Как и Chrome, он теперь отображает для таких страниц серый значок замка, перечеркнутый красным, в адресной строке.

Новейшая версия браузера Mozilla также работает в соответствии со спецификациями Strict Secure Cookies, запрещая ненадежным HTTP-сайтам устанавливать куки с атрибутом Secure и куки с именем, позаимствованным у Secure в том же базовом домене. Источники, ранее считавшиеся ненадежными, могут добавлять Secure-куки, удалять их или лишать силы. Google ввела поддержку Strict Secure Cookies в Chrome 52 в июле.

Последние несколько месяцев Mozilla постепенно готовит пользователей браузера к полному отказу от алгоритма SHA-1. В Firefox 52 эта политика по умолчанию включена. Отныне при обнаружении сертификатов SHA-1 в связке с корневым сертификатом Mozilla браузер Firefox будет отображать пользователю ошибку Untrusted Connection («Недоверенное соединение»), хотя некоторое время это предупреждение можно будет игнорировать.

SHA-1 давно признан слабым и устаревшим, но его глобальная депрекация — дело очень нелегкое и потому долгое; согласно новейшей статистике, сертификаты SHA-1 до сих пор использует пятая часть сайтов в Интернете. Правда, недавно процесс перехода на более криптостойкие алгоритмы получил мощный стимул: голландским исследователям удалось впервые в истории осуществить на практике атаку на SHA-1 коллизией хэша.

В Firefox 52 также окончательно снята поддержка NPAPI. «Плагины, за исключением Flash, Silverlight, Java, Acrobat и им подобных, более не поддерживаются», — сказано в примечаниях к выпуску. Netscape Plug-in API является одним из старейших инструментов для расширения функциональности браузера, однако он морально устарел, к тому же сильно тормозит работу современных браузеров.

Mozilla объявила еще в 2015 году, что собирается снять с поддержки большинство NPAPI-плагинов в Firefox. В июле прошлого года стало известно, что Flash в Firefox будет поддерживаться дольше, чем планировалось, — «до начала 2018 года, чтобы дать пользователям больше времени на переход», как уточнил тогда Бенджамин Смедберг (Benjamin Smedberg), менеджер Mozilla по качеству разработки в Firefox.

Комментируя нововведения в Firefox 52 для Threatpost, инженер Mozilla Мартин Томсон (Martin Thomson) отметил, что компания решила не включать дефолтный TLS 1.3 в этой версии, как планировалось ранее, так как тестирование показало слишком большой процент отказов из-за промежуточных устройств. «Точно сказать не могу, но похоже, что Firefox 53 уже будет использовать TLS 1.3», — заявил представитель Mozilla.

Категории: Кибероборона, Уязвимости