23 апреля 2020 года Mozilla отчиталась в корпоративном блоге о размерах выплат по программе Mozilla Client Security Bug Bounty Program и рассказала, что повышает выплаты по этой программе для всех сборок браузера Firefox. Также компания расширяет период принятия багрепорта по одной проблеме от разных специалистов, чтобы обеспечить им конкурентное преимущество в своих исследованиях.
Continue reading «Mozilla повышает выплаты по программе bug bounty для всех сборок браузера Firefox»
Баг уже эксплуатируется в реальных атаках.
Инженеры Mozilla выпустили обновления браузера Firefox (Firefox 67.0.3 и Firefox ESR 60.7.1), исправляющие уязвимость удаленного выполнения кода (CVE-2019-11707), которая уже эксплуатируется в реальных атаках.
Согласно скупому описанию на сайте компании, проблема представляет собой уязвимость типа type confusion (несоответствие используемых типов данных), которая позволяет вызвать «эксплуатируемый сбой в работе браузера» при выполнении вредоносного JavaScript-кода. Баг связан с обработкой типов в методе Array.pop и может использоваться для перехвата контроля над системой с установленными уязвимыми версиями браузера.
В настоящее время другие подробности об уязвимости неизвестны. Пользователям рекомендуется установить обновления как можно скорее:
Подробнее: https://www.securitylab.ru/news/499515.php
Mozilla Firefox, как и любой другой современный браузер, поддерживает возможность сохранения данных аутентификации для упрощения процесса входа в аккаунты на сайтах. Вместо того, чтобы вводить пароли каждый раз вручную, Firefox автоматически подставляет пароль при необходимости.
Учетные данные сохраняются в файле logins.json в папке профиля Firefox.
Судя по предоставленной информации, проблема в Firefox связана с антивирусными программами Avast и AVG. По всей видимости, программы безопасности каким-то образом повреждают файл logins.json, и Firefox не может его больше прочитать.
Сохраняется вероятность, что данную проблему могут вызывать и другие решения защиты.
Хорошие новости заключаются в том, что пароли сохраняются, и пользователи смогут восстановить их на своих устройствах. С другой стороны, это только временное решение, и файлы будут снова повреждаться, пока Avast не выпустит обновления для своих продуктов, исправляющую данную проблему.
Другими словами, проблема связана не с самим Firefox, а со сторонним ПО, которое повреждает файл с логинами и паролями.
Это лишь временное решение – после перезагрузки системы, файл с паролями будет снова поврежден.
Еще один вариант исправления проблемы – добавить папку Firefox или файл logins.json в исключения антивирусного сканера. Кроме того, пользователи могут подождать официальный патч от AVG/Avast или временно удалить антивирусное ПО.
Некоторым пользователям Firefox удалось исправить проблему, откатившись до версии Firefox 67.0.1. По всей видимости, антивирусы AVG/Avast корректно работают с этой версией браузера.
Данный инцидент является не первым, связанным с конфликтом Firefox и программами безопасности AVG или Avast. После выхода Firefox 61, при попытке доступна к HTTPS сайтам в браузере стали появляться ошибки защищенного подключения. Затем, в феврале 2019 года, пользователи стали получать ошибку SEC_ERROR_UNKNOWN_ISSUER при обращении к защищенным сайтам. Как оказалось, проблема была снова вызвана антивирусными программами.
Компания Mozilla представила новый единый стиль оформления логотипов приложений, выпускаемых под маркой Firefox.
В Mozilla давно хотят донести до широкой аудитории, что знаменитый Firefox, это не только браузер. Под этой маркой выпускается целый ряд программ и работает несколько онлайновых сервисов. Браузеры Firefox, Firefox Focus, Firefox Lite, Firefox VR; менеджер паролей Firefox Lockwise; сервис обмена файлами Firefox Send; приложения для работы со скриншотами Firefox ScrennshotGO и прочие (Notes, Strumbler…), и этот список только расширяется. Чтобы бренд воспринимался более целостно, Mozilla и разработала новый единый стиль оформления.
Представлен новый логотип как самого бренда Firefox, который возглавляет всю линейку продуктов, так и логотипы для большинства выпускаемых разработчиком программ. На самом деле, это гораздо больше, чем набор иконок: Mozilla позиционирует обновленный бренд, как что-то по-настоящему важное. Это не только логотипы иконок, а целостный стиль, проработанная палитра, особенная геометрия форм, новый шрифт. Все это должно передавать пользователям особенные ощущения от дизайна бренда Firefox.
Внимательные пользователи помнят, что чуть менее года назад на SLO.ru публиковалась заметка о ребрендинге Firefox. Тогда разработчики предлагали выбрать наиболее предпочтительный стиль из двух предлагаемых вариантов. Как можно заметить, окончательный вариант, представленный Mozilla, довольно сильно отличается от обоих.
Новые логотипы уже используются в некоторых приложениях (Firefox Send и Firefox Lockwise) и начало использования остальных можно ожидать в ближайшем будущем.
В интервью немецкому изданию T3N глава Mozilla Corporation Крис Берд (Chris Beard) сообщил, что в этом году планируется представить платный пакет услуг для Firefox, доступный по подписке. Пользователи этого премум-сервиса получат доступ к стандартному Firefox, а также к ряду дополнительных услуг. Тестирование премиум-версии запланировано на осень текущего года.
Какими именно будут доступные только для платных пользователей функции, еще не решено окончательно, но Берд говорит, что, скорее всего, среди них будут VPN и безопасное пространство для хранения данных. При этом подчеркивается, что текущие функции Firefox останутся бесплатными, то есть разработчики не намерены переводить ранее бесплатные функции на премиум-уровень. Напомню, что тестирование премиального VPN-сервиса Mozilla стартовало еще в прошлом году, и проект создан совместно с ProtonVPN.
Берд пояснил журналистам, что сейчас у Mozilla есть три основных источника доходов, и разработчики хотели бы изменить их баланс. Так, в настоящее время около 90% доходов Mozilla — это деньги от партнерских отношений с поисковыми системами (в основном Google). В этом свете премиум-функции по подписке могут оказаться удобным и выгодным для всех способом монетизации, который поможет разработчикам меньше зависеть от поисковиков.
Mozilla Corporation проводит мероприятия по изменению бренда.
Ещё в прошлом году креативный директор компании Тим Мюррей говорил о планах трансформировать программные продукты корпорации. Новый логотип браузера Mozilla Firefox официально представят публике только 10 июня этого года, но уже сейчас его можно увидеть в интернете, поскольку инсайдеры слили изображение в Сеть. Дизайн товарного знака компании упрощен и стилизован по сравнению с предыдущей версией. Логотип Mozilla Firefox не менялся с 2016 года, а сейчас руководство фирмы решило разнообразить свой продукт. Новая версия воплощает современную тенденцию к «плоскому» дизайну. Как правило, трансформации товарного знака влекут за собой более серьезные изменения в компаниях.
Представители фирмы Mozilla не комментируют опубликованный в Сети логотип. Более подробно о новой версии знака они расскажут уже на следующей неделе. На днях сотрудники Mozilla анонсировали новый менеджер паролей Firefox Account. Доступ к приложению получат владельцы iOS и Android-устройств. Программа позволяет управлять учётными записями, сохраненными в веб-обозревателе даже при отсутствии браузера на гаджете. Сейчас разработчики испытывают приложение.
4 июня генеральный директор Mozilla Крис Бирд рассказал о новой настройке Firefox, используемой по умолчанию. С её помощью веб-обозреватель блокирует сайты, которые отслеживают юзеров через интернет.
Судя по последней информации, браузер Firefox можно по праву назвать самым безопасным. Некоторым пользователям сети уже удалось по достоинству оценить нововведения в главном офисе компании.
Mozilla во всеуслышание заявила об улучшениях, произведенных в сфере конфиденциальности. Речь идет о программе Enhanced Tracking Protection, блокирующей файлы cookie от сторонних трекеров в Firefox. Кроме того, улучшено расширение Facebook Container, выпущено расширение для рабочего стола Firefox, обновлен Firefox Monitor с панелью отслеживания адресов электронной почты.
Осенью 2017 года Mozilla добавила возможность активации защиты от слежки за пределами частного просмотра. Браузер высвободился от опасных файлов Cookie, способных скрывать мониторинг за пользователями сети.
https://goroday.ru/society/firefox_mozhno_otnesti_k_kategorii_samyh_bezopasnyh_brauzerov_28990
Что касается изменений в данной версии, то об этом пока рано говорить. Mozilla еще не запустила автоматическое развертывание Firefox 67.0.1. Вы можете принудительно проверить обновления, перейдя в Меню > Справка > о Firefox и подождать, пока обновление будет автоматически доставлено на устройство.
Вы также можете загрузить и установить новую версию вручную уже сейчас с нашего сайта:
Так как это минорное обновление для Firefox 67, оно по всей видимости включает исправления ошибок. Mozilla использует данный тип обновлений, чтобы представить небольшие улучшения и исправления. Полная информация об изменениях в Firefox 67.0.1 еще не доступна.
Согласно порталу GHacks, одно из изменения связано с поведением при откате до предыдущей версии браузера. Теперь, если вы захотите вернуться с новой версии на минорный релиз, вы больше не столкнетесь с проблемой повреждения данных.
Firefox 67.0.1 включает новую проверку совместимости, которая должны снизить вероятность данной ошибки.
Согласно данным NetMarketShare, Mozilla Firefox на данный момент является вторым по популярности браузером для десктопной платформы с общей долей в 10 процентов. Лидером является Google Chrome с 67 процентами. Ожидается, что миграция Microsoft Edge с EdgeHTML на Chromium поможет закрепить доминирование этого браузерного движка.
Тем временем, Firefox остается единственной альтернативой для браузеров на Chromium, поэтому даже такие небольшие обновления очень важны для пользовательской базы продукта Mozilla.
Компания Mozilla работает над новой возможностью браузера Firefox под названием Process Priority Manager. Менеджер приоритета процессов должен быть представлен в версии Firefox 69, чтобы повысить скорость работы активных вкладок.
Разработчики предлагают метод перенаправления системных ресурсов от фоновых вкладок к активным, когда это требуется. За счёт этого должна вырасти скорость работы браузера в целом. Windows может дать активным вкладкам ресурсы для отображения содержимого любого типа.
При этом сами инженеры Mozilla пишут, что пока эти усовершенствования не дали крупного прироста производительности, на что они рассчитывали в начале работы над проектом. Не обнаружено значительного влияния на время загрузки веб-страниц, скорость переключения между вкладками и способность удержать пользователей на страницах. Разработчики рады уже тому, что браузер не стал функционировать хуже.
Новая функциональность не трогает ресурсы мультимедийных вкладок, чтобы сайты вроде YouTube могли работать в фоновом режиме. Таким образом, вы можете смотреть сайт на одной вкладке, и при этом слышать звук видео или аудио с другой вкладки.
Менеджер приоритета процессов уже доступен в последней версии Firefox Nightly. Версия Firefox 69 должна быть представлена 3 сентября.
Компания Mozilla представила приложение для управления паролями Firefox Lockwise, которое в процессе разработки развивалось под кодовым именем Lockbox. Lockwise включает в себя мобильные приложения для Android и iOS, позволяющие организовать доступ к сохранённым в Firefox паролям на любых устройствах пользователя, без необходимости установки на них Firefox. Поддерживается функция автозаполнения паролей в формах аутентификации любых мобильных приложений. Код проекта распространяется под лицензией MPL 2.0.
Для синхронизации паролей используется штатные возможности браузера Firefox и учётная запись в Firefox Account. Устройства с Lockwise подключаются к системе синхронизации по аналогии с подключением различных экземпляров браузера. Для защиты данных применяется блочный шифр AES-256-GCM и ключи на базе PBKDF2 и HKDF с хэшированием при помощи SHA-256. Для передачи ключей задействован протокол Onepw, который обеспечивает хранение ключа на стороне пользователя и применяет end-to-end шифрование без хранения расшифрованных данных или ключей на внешнем сервере. Ключ для шифрования задаются на основе указанного для аккаунта логина и пароля, сам аккаунт применяется только для транзитного хранения уже зашифрованных данных.
Кроме мобильных приложений проектом также развивается браузерное дополнение Lockwise, предлагающее альтернативу встроенному в Firefox интерфейсу для управления сохранёнными паролями. При установке дополнения в панели появляется кнопка, через которую можно быстро просматривать учётные записи, сохранённые для текущего сайта, а также выполнять операции поиска и редактирования паролей. В настоящее время дополнение имеет характер экспериментальной разработки (альфа-версия) и пока не может работать при установке в браузере мастер-пароля. Ведётся работа по включению Lockwise в основной состав Firefox в качестве системного дополнения.
Мобильные приложения Lockwise находятся на стадии бета-тестирования, но первый стабильный выпуск запланирован на следующую неделю. В приложениях по умолчанию включена отправка телеметрии с обобщённой информацией об особенностях работы с приложением.
Тем временем, в штатный менеджер паролей Firefox добавлена возможность обработки учётных записей в контексте домена первого уровня, что позволяет предлагать один пароль, сохранённый для всех поддоменов. Например, пароль, сохранённый для login.example.com теперь будет предлагаться для автозаполнения в формах сайта www.example.com. Изменение будет включено в состав Firefox 69.
В Firefox 69 также запланировано включение менеджера управления приоритетами процессов-обработчиков, который позволяет передавать операционной системе сведения о наиболее приоритетных процессах. Например, процессу обработки контента, обрабатывающему активную вкладку будет выставлен более высокий приоритет (выделено больше ресурсов CPU), чем процессу , связанному с фоновыми вкладками (если на них не воспроизводится видео и звук). Изменение пока планируется включить по умолчанию только для платформы Windows, для остальных систем потребуется активация опции dom.ipc.processPriorityManager.enabled в about-config.
Множество расширений для Mozilla Firefox под названиями Adobe Flash Player, Adblock Flash Player и ublock Origin Pro были представлены на площадке Дополнения для Firefox (ru) — Firefox Add-ons в последние дни. Они были созданы и размещены совсем недавно неизвестным пользователем с ником xyz.
Размещаемые расширения не имеют описаний и запрашивают разрешения доступа к данным на всех сайтах. При этом названия скачанных файлов не соответствует названию расширений. Например, при загрузке ublock origin pro скачивается файл adpbe_flash_player-1.1-fx.xpi.
Опасные расширения могут иметь разный размер файлов и функциональные возможности. Общим является то, что они прослушивают входящий трафик и отправляют данные на сторонний веб-сервер.
Конечно, Mozilla удалила эти расширения, как только заметила. Проблема заключается в том, что блокировка происходит уже после открытого размещения плагина. Вредоносные расширения могут появляться в поиске и даже при сортировке по последним обновлениям.
Mozilla перешла на модель «сначала публикация, потом проверка» вместо «сначала проверка, потом публикация» в 2017 году. Любое расширение, публикуемое в Firefox Add-ons, которое прошло автоматическую проверку, успешно размещается на площадке, за исключением расширений программы Firefox Recommended Extensions.
Google поступает аналогичным образом и даже не проверяет расширения вручную после публикации. Данная политика приводит к более быстрым размещениям продуктов, но открывает двери для спамных и вредоносных расширений.
Попытки атак с помощью вредоносных расширений под видом популярных продуктов не являются чем-то новым. Первые наплывы опасных расширений в магазин Firefox Add-ons испытывал в 2017-2018 годах как раз после изменения процесса публикации.
Интернет-магазин Chrome еще сильнее пострадал от нежелательных расширений. Популярность Chrome и тот факт, что Google по умолчанию не проверяет расширения, сыграли здесь важную роль.
Хотя поддельные расширения несложно распознать, некоторые из них могут использовать различные техники, чтобы максимально затруднить обнаружение. Пользователям было бы удобнее, если Mozilla присваивала проверенным расширениям в репозитории отдельную метку, что давало бы больше уверенности в безопасности плагина.
Что, по вашему мнению, должны предпринять Google и Mozilla для борьбы с вредоносными расширениями?
Две уязвимости обозначены как критические и позволяют выполнить на атакуемой системе произвольный код.
С выходом новой версии Firefox 67 компания Mozilla исправила в своем браузере 21 уязвимость. Две из них отмечены как критические, одиннадцать являются опасными, шесть – средней опасности и две – неопасными.
Самые опасные из исправленных уязвимостей связаны с памятью и позволяют злоумышленникам получить полный контроль над уязвимой системой. Первая из них (CVE-2019-9800) затрагивает Firefox 66 и Firefox ESR (версию Firefox с расширенной поддержкой).
«Некоторые из этих багов продемонстрировали признаки повреждения памяти, и мы предполагаем, что, если приложить достаточно усилий, некоторые из них можно проэксплуатировать для выполнения произвольного кода», – сообщается в бюллетене Mozilla.
Вторая критическая уязвимость (CVE-2019-9814) затрагивает только Firefox 66, но не Firefox ESR. Как и CVE-2019-9800, она позволяет выполнить на атакуемой системе произвольный код. Технические подробности об уязвимостях не раскрываются, и неизвестно, можно ли проэксплуатировать их удаленно.
Что касается новых функций безопасности, то Firefox 67 теперь блокирует скрипты для майнинга криптовалюты и не дает сайтам снимать цифровые отпечатки. Кроме того, в анонимном режиме появилась возможность использования сохраненных паролей и отключения/включения расширений.
Подробнее: https://www.securitylab.ru/news/499188.php