Mozilla провела аудит безопасности системы Firefox Accounts

Олег Иванов 20 Июля 2017 - 14:31

Домашние пользователи

Mozilla

Системы для анализа защищенности информационных систем

Аудит безопасности веб-сайта (сканер уязвимостей веб-сайта)

Средства поиска уязвимостей

Брутфорс

...

Mozilla провела аудит безопасности системы Firefox Accounts

Mozilla попросила немецкую фирму Cure53 провести аудит системы учетных записей Firefox Accounts, исследователи выявили в общей сложности 15 брешей, включая уязвимости с критическим и высоким уровнем опасности.

Firefox Accounts – система, позволяющая пользователям Firefox получить доступ к сервисам Mozilla. Поскольку эта система представляет собой службу централизованной аутентификации Firefox, она может стать целью для хакеров, поэтому Mozilla решила протестировать Firefox Accounts на уязвимости.

Тесты, проведенные исследователями Cure53 в течение одного месяца, с сентября по октябрь 2016 года, выявили 15 проблем с безопасностью, из них шесть уязвимостей, и девять общих недочетов.

Самая серьезная уязвимость представляет собой критический баг, позволяющий хакерам проводить как XSS-атаки, так и атаки без участия скриптов, результатом которых может стать успешный фишинг и похищение конфиденциальной инфомрации. Одна Mozilla отметила, что для успешной эксплуатации этой бреши требуется регистрация так называемого Firefox Accounts relier.

Следующая из уязвимостей имеет высокий уровень опасности, она может привести к произвольному выполнению команды, если злоумышленник сможет определить локацию для запуска приложения.

Список недостатков высокой степени также включает в себя еще одну XSS-брешь и слабость шифрования, которая может быть использована для повышения эффективности атаки брутфорс. Другие проблемы, выявленные исследователями, классифицируются как имеющие низкую или среднюю степень риска.

Большинство уязвимостей были устранены, и Mozilla заявила, что ни одна из них не была использована в реальных атаках.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 07 Мая 2026 - 17:30

Общее

ЦИПР-2026 бесплатно откроет выставку для всех желающих в последний день

В заключительный день конференции ЦИПР, 21 мая, выставочная экспозиция будет открыта для всех желающих. Посетить её можно будет бесплатно, но потребуется предварительная регистрация на сайте мероприятия и бейдж посетителя. Выставка разместится в зеркальных павильонах Нижегородской ярмарки.

Гости смогут посмотреть цифровые разработки, программные решения, платформы и технологические сервисы, которые применяются в разных отраслях и в повседневной жизни.

Открытый день проводят ежегодно. Его задача — сделать технологическую повестку доступнее не только для участников деловой программы, но и для жителей города, студентов, молодых специалистов и всех, кому интересно, чем сейчас живёт ИТ-рынок.

Для посещения нужно выбрать дату 21 мая и удобный временной слот при регистрации. После заполнения формы на почту придёт подтверждение и информация о получении бейджа. Количество мест в каждом слоте ограничено.

В тот же день на территории Нижегородской ярмарки стартует городской технологический фестиваль «Тех-Френдли Викенд». Он продолжит тему технологий в более открытом формате: с лекциями, дискуссиями и интерактивными мероприятиями для молодёжи и широкой аудитории.

ЦИПР-2026 пройдёт в Нижнем Новгороде с 18 по 21 мая, а «Тех-Френдли Викенд» — с 21 по 23 мая.

Последний день ЦИПР — это возможность попасть на крупную технологическую выставку без профессионального бейджа участника и посмотреть, какие цифровые решения компании показывают не только чиновникам и бизнесу, но и обычным посетителям.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!