Компания Mozilla анонсировала выпуск Firefox 65.0 — новой стабильной версии браузера для Windows, macOS, Linux и Android. Новый релиз содержит ряд усовершенствований и патчи для семи уязвимостей, три из которых оценены как критические.

Согласно бюллетеню, причиной появления критической бреши CVE-2018-18500 является возможность ошибки использования освобожденной памяти. Уязвимость проявляется при парсинге входного потока HTML5 и может привести к отказу приложения.

Проблемы CVE-2018-18501 и CVE-2018-18502 — это множественные баги в Firefox 64, выявленные при внутреннем аудите. Некоторые из них, по словам разработчиков, грозят нарушением целостности памяти, поэтому обе уязвимости были признаны критическими.

Среди новшеств, нацеленных на повышение защищенности Firefox, следует отметить решение проблемы с блокировкой всплывающих окон. Ранее сайты могли обойти запрет, одновременно открыв несколько окон, отныне эта возможность закрыта.

Для платформ macOS, Linux и Android включена по умолчанию защита от повреждения стека (stack smashing), которая помогает бороться с атаками, использующими ошибки переполнения буфера. Подобные уязвимости пользуются большой популярностью у злоумышленников, так как они позволяют вызвать отказ приложения, а при переполнении в стековом кадре — выполнить произвольный код с правами учетной записи, под которой запущена программа.

В Firefox также обновили интерфейс блокировки отслеживания перемещений. Эту нацеленную на защиту приватности функциональность Mozilla активировала по умолчанию в октябре прошлого года, снабдив Firefox 63 перечнем доменов, использующих средства слежения (трекеры). Теперь управлять блокировкой такого контента стало проще и понятнее; кроме кнопки индивидуального включения/выключения запрета (на панели информации о сайте) пользователю в настройках «Приватность и защита» предлагаются на выбор три варианта блокировки: стандартная, строгая и персональная.

  • Стандартный режим, заданный в Firefox 65 по умолчанию, предполагает автоматическую блокировку известных трекеров (по черному списку disconnect.me), но только в окнах приватного просмотра. Разработчики обещают, что со временем таким же образом можно будет отсеивать и сторонние куки, отслеживающие перемещения.
  • Строгий режим означает блокировку трекеров, известных Firefox, во всех окнах. Однако Mozilla предупреждает, что такая настройка может вызвать проблемы с некоторыми сайтами.
  • Персональные настройки позволяют выбрать, что и как блокировать. Трекеры можно запретить только в приватных окнах или во всех без исключения, а также по базовому списку disconnect.me либо полному. В случае с куки-файлами разнообразия больше: пользователь может заблокировать следящие куки; куки сайтов, которые ранее в браузере не открывались; все сторонние куки или вообще любые.

Категории: Кибероборона, Уязвимости