Mozilla выпустила обновленные версии Firefox 42 и Firefox ESR 38 38.4, в которых реализован ряд мер по защите приватности и запатчены некоторые серьезные уязвимости.

Апдейт от 3 ноября устраняет по крайней мере три бреши, открывающие возможность для удаленного исполнения кода.

Два из этих багов, содержащихся в тулките NSS для шифрования SSL/TLS-трафика, обнаружили инженеры-программисты из Mozilla Тайсон Смит (Tyson Smith) и Дэвид Килер (David Keeler). Эти уязвимости, по словам исследователей, потенциально позволяют вредоносному HTTPS-сайту внедрить и исполнить код в браузере. Новый релиз Firefox 42 и Firefox ESR 38 38.4 избавлен от этих изъянов. Разработчики сторонних приложений, использующие этот тулкит для шифрования трафика, должны перейти на обновленную версию NSS и предоставить соответственные обновления пользователям.

Кроме того, исследователь из Google Райан Сливи (Ryan Sleevi) обнаружил в коде Firefox уязвимость переполнения целочисленного значения в NSPR, компоненте NSS. Брешь открывает возможность для удаленного исполнения вредоносного кода в браузере.

Mozilla также поработала над тем, чтобы избавить новую версию Firefox от других уязвимостей, связанных с удаленным исполнением кода и содержащихся в методе обработки SVG-файлов в графической библиотеке ANGLE. О наличии этих багов сообщил ИБ-эксперт Рональд Крейн (Ronald Crane). Практического эксплойта к ним пока не обнаружено, но он может появиться в будущем, так что Mozilla заодно запатчила и эту серию брешей.

Также были исправлены серьезные баги в движке браузера; некоторые из них при определенных условиях вызывали повреждение памяти и при наличии навыков и упорства у атакующих могли допускать удаленное исполнение кода, объяснили в Mozilla.

Кроме того, выпущены патчи к шести багам, связанным со сбором конфиденциальной информации без согласия пользователей, а также к девяти другим уязвимостям средней и низкой степени критичности.

Закрыв имеющиеся дыры, Mozilla также реализовала в Firefox 42 ряд новых функций, помогающих пользователям избежать слежки. Так, например, сайты, применяющие алгоритм сбора информации о пользователе, больше не смогут передавать данные системам веб-аналитики при включенном режиме «Инкогнито».

«Режим «Инкогнито» с функцией защиты от слежения блокирует рекламу, работу алгоритмов систем аналитики и кнопки соцсетей, отслеживающих действия пользователя», — заявил Ник Нгуен (Nick Nguyen), вице-президент по продукту Mozilla.

Нгуен подчеркнул, что другие популярные браузеры отслеживают пользователя даже в приватных режимах, но Firefox эффективно блокирует всякую слежку.

Обновления коснулись также компонентов WebRTC и Login Manager: теперь закладки имеют иконки и удобную кнопку отключения автоматически воспроизводимого звука в любой закладке.

Категории: Главное, Уязвимости