Zaktualizuj Firefoxa. Mozilla łata poważne luki bezpieczeństwa

Mozilla łata 8 luk, z czego 5 krytycznych

W biuletynie znajduje się 8 znanych luk bezpieczeństwa, z czego 5 to luki wysokiego ryzyka. Trzy z nich według specjalistów pozwalają na zdalne uruchomienie szkodliwego kodu. Wystarczyło więc wejść na szkodliwą stronę, by malware dostał się na twój komputer. Na szczęście wszystkie zostały znalezione przez inżynierów Mozilli i nie ma dowodów na to, że były wykorzystywane w prawdziwych atakach.

Zobacz: Firefox 77 dostępny. Wprowadza opcjonalne uprawnienia i stronę dla certyfikatów

Trzy najgroźniejsze luki trafiły do biuletynów jako:

• CVE-2020-12406 – błąd mieszania typów przy korzystaniu z NativeTypes w JavaScripcie;
• CVE-2020-12410 – uszkodzenie pamięci;
• CVE-2020-12411 – zbiorczy opis kolejnych błędów uszkodzenia pamięci.

Zobacz: Firefox 76 poprawił menedżera haseł. Teraz powiadomi o wycieku danych
Zobacz: Firefox Preview 4.0 dla Androida już ma rozszerzenia

Kolejne błędy z najgroźniejszej piątki umożliwiały atak na bibliotekę NSS, używaną w bezpiecznych połączeniach HTTPS (CVE-2020-12399) i wydobycie sygnatur DSA, a w konsekwencji także kluczy prywatnych. Lukę CVE-2020-12405 odkrył Marcin Noga (Icewall) z grupy Cisco Talos. To klasyczny błąd use-after-free() w komponencie SharedWorkService. Wykorzystanie go mogło doprowadzić do zakończenia pracy Firefoxa z możliwością przeprowadzenia kolejnych etapów ataku na system.

Tymczasem w kanale Nightly…

Przy okazji warto dodać, że w kanale Nightly (Firefox 79.0a1) pojawiła się możliwość eksportu haseł i loginów do pliku CSV. Dotyczy to oczywiście haseł przechowywanych w menedżerze haseł Lockwise.

W przygotowaniu jest też możliwość importu danych logowania z takiego pliku. To znacznie ułatwi przenoszenie się między Chromem i Firefoxem – Chrome też już potrafi eksportować hasła w tym formacie.

Źródło zdjęć: wł.

Źródło tekstu: Mozilla, The Register,