На прошлой неделе Mozilla выпустила Firefox 53 и Firefox ESR 52.1, включив в их состав порядка 40 патчей, в том числе для восьми критических уязвимостей.

Статус «критический» получили такие баги, как запись за пределами допустимого диапазона, нарушение целостности памяти, переполнение буфера и некорректное определение источника страницы. Появление этих ошибок, кроме последней, влечет крэш, которым потенциально может воспользоваться злоумышленник. Путаница источника возникала при перезагрузке страниц, содержащих редирект вида data:text/html, что открывало возможность для XSS-атаки.

Критическими сочтены также еще две CVE — в совокупности более двух десятков багов, проявляющих признаки порчи памяти.

Примечательно, что в перечне уязвимостей, пропатченных в Firefox, отсутствует лазейка для фишеров, о которой недавно предупредил китайский исследователь Сю Дун Чжен (Xudong Zheng). В Chrome она уже закрыта, а Mozilla, видимо, не торопится решить эту проблему. За день до выпуска Firefox 53 программист из Mozilla Foundation Джервас Маркэм (Gervase Markham), который также является ведущим разработчиком Bugzilla, посоветовал пользователям Firefox включить функцию Safe Browsing во избежание фишинговых атак, подобных описанной Чженом.

Комментируя отношение Mozilla к данной проблеме, Маркэм отметил, что, если они начнут вводить ограничения для скриптов, использующих кириллические символы, браузер «начнет расценивать такие скрипты как второсортные, так как отображение с их использованием будет неполным».

«Идеального решения этой проблемы не существует, — пишет Маркэм. — Естественные языки нелогичны, противоречивы и тем прекрасны. В различных скриптах встречаются буквы, способные вызвать коллизию. Хотите избежать таких атак — купите домен в TLD-зоне, которая это запрещает. Если в вашей TLD это разрешено, попытайтесь воздействовать на администратора реестра. Вместе с тем у пользователей Firefox есть Safe Browsing, способный защитить их от реальных атак фишеров, как использующих IDN-клоны, так и обходящихся без них».

Маркэм также сослался на новую FAQ-запись IDN Display Algorithm («Алгоритм отображения IDN») на сайте Mozilla, которая, по его мнению, хорошо иллюстрирует отношение разработчика к данной проблеме. «Вы можете с этим не согласиться, но это наша взвешенная позиция, поэтому, пожалуйста, больше никаких комментариев, кроме новой информации, которую, по вашему искреннему убеждению, мы не учли», — пишет Маркэм.

Чжен со своей стороны призвал пользователей Firefox ограничить вектор атаки, задав выполнение условия network.IDN_show_punycode в настройках about:config. В итоге Firefox станет всегда отображать IDN-домены в Punycode, что поможет распознать подмену.

Категории: Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *