Компания Mozilla выпустила 70-ю версию браузера Firefox. В ней разработчики исправили несколько серьезных багов, эксплуатация которых могла привести к управляемому сбою в работе программы, а также выполнению стороннего кода. Помимо этого, в браузере расширили защиту от межсайтовых трекеров и добавили оповещения о возможной компрометации сохраненных паролей.

Блокировка трекеров в Firefox 70

Как сообщили создатели браузера, механизм защиты от отслеживания Enhanced Tracking Protection расширен на домены социальных сетей. Это означает, что Firefox будет блокировать межсайтовые куки следующих платформ:

  • YouTube
  • Facebook
  • WhatsApp
  • Oculus
  • Twitter
  • Facebook Messenger
  • Instagram
  • TweetDeck
  • LinkedIn

По умолчанию будут отключены инструменты, которые позволяют ресурсам настраивать показ рекламы на основании данных об онлайн-активности пользователя. Куки для авторизации через профиль соцсети все еще разрешены, но и их можно заблокировать в настройках программы.

Плагин для управления паролями Lockwise теперь предупредит пользователя о возможной компрометации учетных данных. Расширение сверяет сохраненные ключи с базой известных утечек и выдает предупреждение в случае обнаружения совпадений.

Какие ошибки исправили в Firefox 70

В свежем релизе разработчики также закрыли несколько уязвимостей. Одной из них — CVE-2019-11764 — присудили критический уровень угрозы. Ошибка встречается в Firefox 69 и Firefox ESR 68.1; она может привести к повреждению памяти и, таким образом, создать условия для выполнения вредоносного кода на целевой машине.

Еще трем недостаткам присвоен высокий уровень угрозы. Как сообщают разработчики, CVE-2018-6156 связана с неправильным указанием длины пакета при его обработке движком WebRTC. Злоумышленник может вызвать ошибку переполнения буфера кучи при помощи специального видеофайла, переданного в адрес браузера. Эксплуатация бага вызывает сбои в работе Firefox.

Как выяснил ИБ-специалист Себастьян Пиппинг (Sebastian Pipping), вызов некоторых процедур при выполнении функции libexpat может привести к переполнению кучи и зависанию Firefox. Проблему зарегистрировали как CVE-2019-15903, для ее эксплуатации злоумышленнику необходимо использовать специально созданный XML-файл.

Последняя ошибка в череде багов с высоким уровнем угрозы связана с использованием памяти после освобождения. Уязвимость с идентификатором CVE-2019-11757 возникает при размещении данных в таблице IndexedDB. Злоумышленник может сохранить ссылку на определенный объект и использовать ее даже после того, как ячейка освободится. Это приведет к отказу в обслуживании и эксплуатируемому сбою программы.

Предыдущий релиз Firefox появился в сентябре этого года. В версии 69 службу Enhanced Tracking Protection включили по умолчанию, а для воспроизведения Flash-контента запрашивалось согласие пользователя.

Категории: Кибероборона, Уязвимости