Mozilla провела аудит безопасности системы Firefox Accounts

Олег Иванов 20 Июля 2017 - 14:31

Домашние пользователи

Mozilla

Системы для анализа защищенности информационных систем

Аудит безопасности веб-сайта (сканер уязвимостей веб-сайта)

Средства поиска уязвимостей

Брутфорс

...

Mozilla провела аудит безопасности системы Firefox Accounts

Mozilla попросила немецкую фирму Cure53 провести аудит системы учетных записей Firefox Accounts, исследователи выявили в общей сложности 15 брешей, включая уязвимости с критическим и высоким уровнем опасности.

Firefox Accounts – система, позволяющая пользователям Firefox получить доступ к сервисам Mozilla. Поскольку эта система представляет собой службу централизованной аутентификации Firefox, она может стать целью для хакеров, поэтому Mozilla решила протестировать Firefox Accounts на уязвимости.

Тесты, проведенные исследователями Cure53 в течение одного месяца, с сентября по октябрь 2016 года, выявили 15 проблем с безопасностью, из них шесть уязвимостей, и девять общих недочетов.

Самая серьезная уязвимость представляет собой критический баг, позволяющий хакерам проводить как XSS-атаки, так и атаки без участия скриптов, результатом которых может стать успешный фишинг и похищение конфиденциальной инфомрации. Одна Mozilla отметила, что для успешной эксплуатации этой бреши требуется регистрация так называемого Firefox Accounts relier.

Следующая из уязвимостей имеет высокий уровень опасности, она может привести к произвольному выполнению команды, если злоумышленник сможет определить локацию для запуска приложения.

Список недостатков высокой степени также включает в себя еще одну XSS-брешь и слабость шифрования, которая может быть использована для повышения эффективности атаки брутфорс. Другие проблемы, выявленные исследователями, классифицируются как имеющие низкую или среднюю степень риска.

Большинство уязвимостей были устранены, и Mozilla заявила, что ни одна из них не была использована в реальных атаках.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 07 Мая 2026 - 12:44

Корпорации Яндекс

ФАС на Яндекс! Маркетплейсы пожаловались на виджеты интернет-гиганта

Ассоциация финансовых маркетплейсов пожаловалась в ФАС на Яндекс. В организации считают, что поисковик создаёт неравные условия для операторов финансовых платформ. Речь идёт об интерактивном виджете в поисковой выдаче.

По словам заявителей (передаёт РБК), Яндекс стал размещать его выше обычных результатов поиска по банковским запросам.

В таком апплете пользователь может получить информацию и выполнить часть действий прямо на странице поиска, не переходя на сайты финансовых маркетплейсов.

В ассоциации считают, что такой виджет фактически копирует функциональность финансовых платформ и забирает на себя значительную часть трафика. По оценке заявителей, с начала 2026 года его видимость по банковским запросам превысила 80%.

Директор Ассоциации финансовых маркетплейсов Мария Князева заявила, что поиск перестаёт быть просто инструментом навигации и начинает сам выбирать финансовые продукты для пользователя. По её мнению, это нарушает принципы конкуренции и не даёт человеку увидеть весь набор доступных предложений.

Отдельный аргумент ассоциации — регулирование. Операторы финансовых платформ находятся под надзором Центробанка, а их деятельность должна вестись на отдельной площадке, а не прямо на странице поисковой выдачи.

В «Яндексе» сообщили, что пока не получали жалобу и не знакомы с её содержанием.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!