Внимание, обновите Firefox до версии 58.0.1 для закрытия критической уязвимости
Mozilla выпустила важное обновление веб-браузера Firefox для исправления критической уязвимости, которая позволяет злоумышленникам удаленно выполнять вредоносный код на компьютерах, на которых установлена уязвимая версия браузера.
Критическая уязвимость (CVE-2018–5124) может привести к выполнению кода в системе при открытии определённым образом подготовленных HTML-фрагментов, в которых используются дополнительные атрибуты управления интерфейсом. Суть уязвимости в возможности inline-подстановки JavaScript-кода через данные элементы, который будет выполнены на привилегированном уровне, отвечающем за формирование интерфейса браузера (chrome-privileged).
«Успешное использование уязвимости может позволить злоумышленнику выполнить произвольный код с привилегиями пользователя. Если пользователь имеет повышенные привилегии, злоумышленник может полностью скомпрометировать систему», — говорится в рекомендациях по безопасности от компании Cisco.
Злоумышленник может получить возможность устанавливать программы, создавать новые учетные записи с полными правами пользователя, просматривать, изменять или удалять данные.
Однако, если браузер настроен на меньшее количество прав пользователя в системе, использование этой уязвимости может оказать менее негативное влияние на безопасность пользователя.
В число уязвимых версий браузера входят Firefox 56 (.0, .0.1, .0.2), 57 (.0, .0.1, .0.2, .0.3, .0.4) и 58 (.0). Уязвимость была устранена в Firefox 58.0.1, и ее можно загрузить с официального сайта компании.
CVE-2018–5124, обнаруженая разработчиком Mozilla Johann Hofmann, не влияет на версии браузера Firefox для Android и Firefox 52 ESR.
Пользователям рекомендуется применить обновление программного обеспечения до того, как хакеры начнут использовать эту возможность, и не открывать ссылки, в письмах электронной почты или сообщениях, если они получены из подозрительных источников.
Системным администраторам также рекомендуется использовать непривилегированную учетную запись при просмотре страниц в Интернете.
Firefox Quantum
Обновление подготовлено спустя неделю после того, как компания выпустила свой новый браузер Firefox Quantum (Firefox 58). Firefox 58.0 разрабатывался на протяжении последних двух месяцев. За это время инженеры Mozilla добавили компиляцию потоковой передачи и новый двухуровневый компилятор, предназначенный для улучшения производительности WebAssembly. Кроме того, Firefox теперь научился автоматически заполнять поля реквизитов банковских карт, а для пользователей MacOS была добавлена поддержка WebVR.
Среди других улучшений — оптимизация скорости загрузки страниц за счет реализации техники кэширования внутреннего представления JavaScript и ускорение рендеринга веб-страниц в Windows за счет интеграции технологии Off-Main-Thread Painting.
Firefox 58 являлся первым релизом браузера, который по умолчанию поставляется с исправлениями безопасности для уменьшения риска атак Meltdown и Spectre. Однако, в системах со старыми процессорами возможны неполадки.
P.S.
Так как зашла речь об уязвимостях процессоров, стоит отметить, что исследователи из компании AV-TEST на сегодняшний день обнаружили по крайней мере 139 образцов вредоносных программ, которые связаны с попытками эксплуатации Meltdown и Spectre. Прирост числа обнаруженных подобных вирусов показан ниже на графике и говорит о том, что злоумышленники активно работают в этом направлении.
По ссылке вы можете найти хэши SHA256 для всех образцов вредоносных программ.