Разработчики Mozilla выпустили новую версию браузера Firefox для Windows, macOS, Linux и Android. В релизе 67.0 обозревателя исправлена 21 уязвимость, а также добавлена функция блокировки встроенных криптомайнеров и скриптов, скрытно отслеживающих пользователя по цифровым отпечаткам.

Две бреши признаны критическими, так как они позволяют злоумышленнику выполнять вредоносные действия без привлечения пользователя. Эксплуатация CVE-2019-9814 и CVE-2019-9800 может привести к выполнению на устройстве стороннего кода через нарушение целостности памяти. Множественные ошибки при работе с памятью были выявлены командой разработчиков Mozilla и устранены с выпуском обновления.

Еще одиннадцати проблемам присвоен высокий уровень опасности. Шесть из них связаны с ошибкой Use-After-Free, возникающей при работе различных компонентов браузера. Некорректное использование динамической памяти может привести к прекращению работы Firefox, отказу в обслуживании или выполнению стороннего кода за пределами песочницы. Уязвимости получили следующие идентификаторы:

  • CVE-2019-9818 вызвана возможностью состояния гонки в сервере аварийного завершения работы.
  • CVE-2019-9820 проявляется при вызове обработчика ChromeEventHandler в компоненте DocShell.
  • CVE-2019-9821 связана с неправильной работой функции AssertWorkerThread.
  • CVE-2019-11691 допускает использование потока XMLHttpRequest после завершения работы цикла.
  • CVE-2019-11692 возникает при удалении работающего в данный момент слушателя событий из менеджера процессов браузера.
  • CVE-2019-7317 обнаружена в операторе png_image_free библиотеки libpng.

Несколько независимых исследователей сообщили разработчикам о проблеме с многопоточностью при обработке JavaScript-сценариев в Firefox для macOS. Уязвимость, допускающая атаки типа Spectre, была исправлена в релизе 10.14.5 операционной системы Apple и теперь получила заплатку в коде браузера. Патч для CVE-2019-9815 позволяет отключить поддержку технологии Hyper-threading в приложениях, которые выполняют потенциально опасный код.

Некорректная обработка типов используемых объектов в компоненте UnboxedObjects могла привести к манипулированию сценариями JavaScript и обходу процедур безопасности. Добавив заплатку для CVE-2019-9816, создатели Firefox отметили, что уязвимый модуль по умолчанию отключен во всех актуальных релизах браузера.

Ошибка, идентифицированная как CVE-2019-9817, допускает чтение изображений, созданных при помощи HTML-функции canvas и расположенных на стороннем ресурсе. Недостаток нарушает правило ограничения домена и может быть использован для кражи графических данных.

Серьезный баг исправлен в FetchAPI, предоставляющем сторонним приложениям интерфейс для использования ресурсов браузера. Как сообщают разработчики, эксплуатация CVE-2019-9819 может вызвать несовпадение разделов JavaScript и привести к аварийному завершению работы браузера.

Еще одна заплатка связана с переполнением буфера в компоненте WebGL для Linux. По информации специалистов, проблема кроется в функции bufferdata и может привести к зависанию вкладки с вредоносным содержимым. Уязвимость, найденная ИБ-исследователем с псевдонимом crixer, получила идентификатор CVE-2019-11693.

Остальные исправления относятся к ошибкам среднего и низкого уровня опасности. Новый релиз доступен для всех пользователей Firefox через функцию автоматического обновления интернет-обозревателя. Предыдущая версия браузера вышла в середине марта и также содержала патчи для 21 уязвимости.

Категории: Кибероборона, Уязвимости