Mozilla wydała ważne poprawki bezpieczeństwa dla przeglądarki Firefox 77. Przeglądarka powinna zaktualizować się automatycznie, ale warto się upewnić i w razie potrzeby uruchomić ją ponownie.
W biuletynie znajduje się 8 znanych luk bezpieczeństwa, z czego 5 to luki wysokiego ryzyka. Trzy z nich według specjalistów pozwalają na zdalne uruchomienie szkodliwego kodu. Wystarczyło więc wejść na szkodliwą stronę, by malware dostał się na twój komputer. Na szczęście wszystkie zostały znalezione przez inżynierów Mozilli i nie ma dowodów na to, że były wykorzystywane w prawdziwych atakach.
Zobacz: Firefox 77 dostępny. Wprowadza opcjonalne uprawnienia i stronę dla certyfikatów
Trzy najgroźniejsze luki trafiły do biuletynów jako:
Zobacz: Firefox 76 poprawił menedżera haseł. Teraz powiadomi o wycieku danych
Zobacz: Firefox Preview 4.0 dla Androida już ma rozszerzenia
Kolejne błędy z najgroźniejszej piątki umożliwiały atak na bibliotekę NSS, używaną w bezpiecznych połączeniach HTTPS (CVE-2020-12399) i wydobycie sygnatur DSA, a w konsekwencji także kluczy prywatnych. Lukę CVE-2020-12405 odkrył Marcin Noga (Icewall) z grupy Cisco Talos. To klasyczny błąd use-after-free() w komponencie SharedWorkService. Wykorzystanie go mogło doprowadzić do zakończenia pracy Firefoxa z możliwością przeprowadzenia kolejnych etapów ataku na system.
Przy okazji warto dodać, że w kanale Nightly (Firefox 79.0a1) pojawiła się możliwość eksportu haseł i loginów do pliku CSV. Dotyczy to oczywiście haseł przechowywanych w menedżerze haseł Lockwise.
W przygotowaniu jest też możliwość importu danych logowania z takiego pliku. To znacznie ułatwi przenoszenie się między Chromem i Firefoxem – Chrome też już potrafi eksportować hasła w tym formacie.
Źródło zdjęć: wł.
Źródło tekstu: Mozilla, The Register,
