Разработчики исправили почти 20 уязвимостей, включая критические ошибки, позволявшие запускать сторонний код.
Обновление Mozilla Firefox исправляет 18 уязвимостей, в том числе две критические бреши, четыре серьезные и семь средних. Это уже второй апдейт браузера в 2018 году — 58-я версия вышла менее двух месяцев назад.
Наибольшую угрозу представляют уязвимости CVE-2018-5125 и CVE-2018-5126. Обе ошибки создают возможность исполнения стороннего кода через нарушение целостности памяти (memory corruption).
Серьезную опасность таят бреши с идентификаторами CVE-2018-5127, CVE-2018-5128, CVE-2018-5130 и CVE-2018-5129. Первые три способны вызвать критический сбой браузера с потенциальной возможностью злоупотребления. Последнюю можно использовать, чтобы вывести вредоносный процесс из «песочницы» — опять же через нарушение целостности памяти.
Менее серьезные уязвимости угрожают целостности пользовательских данных, в том числе через применение вредоносных расширений, открывают возможности для спуфинга веб-страниц и даже DoS-атак. Для их реализации требуются специфические условия, из-за чего эти ошибки попали в «среднюю» и «низкую» категории опасности.
Ранее разработчики анонсировали новую функцию 59-й версии Firefox, которая упростит противодействие фишингу. Речь идет о команде data:URI, которая позволяет программистам загружать один документ в другой. Таким образом, например, можно встраивать несколько изображений в HTML-страницы без отдельных HTTP-запросов для каждого из них. Однако злоумышленники используют эту опцию, чтобы прятать зловредный код внутри внешне безопасных элементов. Это может быть как простой HTML, так и Javascript.
Как пояснил инженер Firefox Кристоф Кершбаумер (Christoph Kerschbaumer), начиная с 59-й версии браузер блокирует исполнение небезопасного кода в условиях, напоминающих фишинговую атаку. К этим случаям относятся, например, попытки загрузить URL-адрес с применением специальных Javascript-функций или использование встроенного frame-объекта для открытия страницы в новом окне или вкладке. В рядовых ситуациях исполнение команды остается неизменным, в результате пользователь Firefox 59 не почувствует неудобств.