Обновление Firefox 101.0.1. Усиление требований Mozilla к удостоверяющим центрам

Доступен корректирующий выпуск Firefox 101.0.1, примечательный усилением sandbox-изоляции на платформе Windows. В новой версии включена по умолчанию блокировка доступа к API Win32k (компоненты Win32 GUI, работающие на уровне ядра) из изолированных процессов обработки контента. Изменение внесено накануне соревнования Pwn2Own 2022, которое состоится 18–20 мая. Участники Pwn2Own продемонстрируют рабочие техники эксплуатации ранее неизвестных уязвимостей и в случае успеха получат внушительные вознаграждения. Например, размер премии за обход sandbox-изоляции в Firefox на платформе Windows составляет 100 тысяч долларов.

Среди других изменений упоминаются исправление проблемы с показом субтитров в режиме «картинка в картинке» при использовании Netflix и устранение недоработки с недоступностью некоторых команд в окне режима «картинка в картинке».

Дополнительно сообщается о добавление новых требований в правила хранилища корневых сертификатов Mozilla. Изменения, которые нацелены на решение некоторых давно наблюдаемых пробоем с отзывом сертификатов TLS-серверов, вступят в силу 1 июня.

Первое изменение касается учёта кодов с причинами отзыва сертификата (RFC 5280), которые удостоверяющие центры теперь в ряде случаев обязаны будут указывать в случает отзыва сертификата. Ранее некоторые удостоверяющие центры не передавали подобные данные или назначали их формально, что затрудняло отслеживание причин отзыва сертификатов серверов. Теперь корректное заполнение кодов причины в списках отозванных сертификатов (CRL) станет обязательным и позволит отделить ситуации, связанные с компрометацией ключей и нарушением правил работы с сертификатами, от не касающихся безопасности случаев, таких как смена информации об организации, продажа домена или досрочная замена сертификата.

Второе изменение обязывает удостоверяющие центры передавать в базу корневых и промежуточных сертификатов (CCADB, Common CA Certificate Database) полные URL списков отозванных сертификатов (CRL). Изменение даст возможность полностью учитывать все отозванные сертификаты TLS, а также заранее подгружать в Firefox более полные данные об отозванных сертификатах, которые можно использовать для проверки без отправки запроса на серверы удостоверяющих центров в процессе установки TLS-соединения.



Источник: http://www.opennet.ru/opennews/art.shtml? num=57197

© OpenNet