Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Только что вышедшая 67-я версия браузера содержит заплатки для 21 уязвимости и другие обновления безопасности.
Разработчики Mozilla выпустили новую версию браузера Firefox для Windows, macOS, Linux и Android. В релизе 67.0 обозревателя исправлена 21 уязвимость, а также добавлена функция блокировки встроенных криптомайнеров и скриптов, скрытно отслеживающих пользователя по цифровым отпечаткам.
Две бреши признаны критическими, так как они позволяют злоумышленнику выполнять вредоносные действия без привлечения пользователя. Эксплуатация CVE-2019-9814 и CVE-2019-9800 может привести к выполнению на устройстве стороннего кода через нарушение целостности памяти. Множественные ошибки при работе с памятью были выявлены командой разработчиков Mozilla и устранены с выпуском обновления.
Еще одиннадцати проблемам присвоен высокий уровень опасности. Шесть из них связаны с ошибкой Use-After-Free, возникающей при работе различных компонентов браузера. Некорректное использование динамической памяти может привести к прекращению работы Firefox, отказу в обслуживании или выполнению стороннего кода за пределами песочницы. Уязвимости получили следующие идентификаторы:
Несколько независимых исследователей сообщили разработчикам о проблеме с многопоточностью при обработке JavaScript-сценариев в Firefox для macOS. Уязвимость, допускающая атаки типа Spectre, была исправлена в релизе 10.14.5 операционной системы Apple и теперь получила заплатку в коде браузера. Патч для CVE-2019-9815 позволяет отключить поддержку технологии Hyper-threading в приложениях, которые выполняют потенциально опасный код.
Некорректная обработка типов используемых объектов в компоненте UnboxedObjects могла привести к манипулированию сценариями JavaScript и обходу процедур безопасности. Добавив заплатку для CVE-2019-9816, создатели Firefox отметили, что уязвимый модуль по умолчанию отключен во всех актуальных релизах браузера.
Ошибка, идентифицированная как CVE-2019-9817, допускает чтение изображений, созданных при помощи HTML-функции canvas и расположенных на стороннем ресурсе. Недостаток нарушает правило ограничения домена и может быть использован для кражи графических данных.
Серьезный баг исправлен в FetchAPI, предоставляющем сторонним приложениям интерфейс для использования ресурсов браузера. Как сообщают разработчики, эксплуатация CVE-2019-9819 может вызвать несовпадение разделов JavaScript и привести к аварийному завершению работы браузера.
Еще одна заплатка связана с переполнением буфера в компоненте WebGL для Linux. По информации специалистов, проблема кроется в функции bufferdata и может привести к зависанию вкладки с вредоносным содержимым. Уязвимость, найденная ИБ-исследователем с псевдонимом crixer, получила идентификатор CVE-2019-11693.
Остальные исправления относятся к ошибкам среднего и низкого уровня опасности. Новый релиз доступен для всех пользователей Firefox через функцию автоматического обновления интернет-обозревателя. Предыдущая версия браузера вышла в середине марта и также содержала патчи для 21 уязвимости.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |