Firefox Quantum: улучшенные функции безопасности и конфиденциальности

Олег Иванов 15 Ноября 2017 - 17:07

...

Firefox Quantum: улучшенные функции безопасности и конфиденциальности

Mozilla выпустила Firefox 57 (Firefox Quantum), новая версия браузера имеет множество улучшений производительности, а также исправлений по части безопасности.

Отметилась новая версия новым механизмом просмотра, который в полной мере использует вычислительную мощность в современных устройствах, поддержку аппаратного видеодекодера AMD VP9 для улучшения воспроизведения видео с меньшим энергопотреблением и более чистый и быстрый пользовательский интерфейс с оптимизацией для сенсорных экранов.

С этого момента Firefox будет поддерживать расширения, созданные с использованием WebExtension API, кросс-браузерной системы для разработки расширений. Поддержка устаревших расширений осуществляться не будет.

«В прошлом расширения часто переставали работать каждый раз, когда выпускалась новая версия Firefox, разработчикам приходилось обновлять их каждые шесть недель, чтобы поддерживать совместимость. Поскольку расширения могут также напрямую менять внутренний код Firefox, злоумышленники могли включить вредоносный код в легитимное расширение», — поясняет Mozilla.

«Чтобы решить эту проблему, мы перешли к новой структуре для разработки расширений для Firefox. Расширения, созданные по новым стандартам, более безопасны и будут совместимы с будущими версиями браузера. Большинство популярных дополнений уже перешли к этой модели», — добавляет компания.

Еще одно новшество — усовершенствованная песочница на системах Linux. И, наконец, функцию защиты от слежения (Tracking Protection) теперь можно включить в обычном режиме прсомотра.

Напомним, что ранее мы писали о том, что в Firefox 57 будет включен режим защиты от слежения, что компания и реализовала.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 26 Апреля 2024 - 15:38

Атаки на сайты Уязвимости сайтов Взлом сайтов Заражение веб-сайта Домашние пользователи

Критическая дыра в WordPress-плагине WP-Automatic используется в атаках

Киберпреступники пытаются использовать в атаках критическую уязвимость в плагине WP‑Automatic для сайтов на WordPress. В случае успешной эксплуатации брешь позволяет получить полный контроль над целевым веб-ресурсом.

Проблему, о которой идёт речь, отслеживают под идентификатором CVE-2024-27956. По шкале CVSS ей присвоили почти максимальный балл — 9,9.

«Уязвимость представляет собой возможность SQL-инъекции и создаёт серьёзные риски для владельцев веб-сайтов, поскольку злоумышленники могут получить несанкционированный доступ», — пишут специалисты WPScan в официальном уведомлении.

«Например, атакующие создают аккаунты с правами администратора, загружают вредоносные файлы и получают полный контроль над ресурсом».

По словам исследователей, проблема кроется в механизме аутентификации, реализованном в плагине WP-Automatic. Условный злоумышленник может обойти его с помощью SQL-запросов к базе данных.

В тех атаках, которые удалось отследить экспертам, CVE-2024-27956 используется для отправки несанкционированных запросов к БД и создания учётных записей уровня администратора (имена обычно начинаются на «xtw»).

После этого злоумышленники могут менять код и загружать любые файлы. В данных кампаниях атакующие устанавливают бэкдор и обфусцируют вредоносный код.

С 13 марта 2024 года команда Patchstack отследила уже 5,5 млн попыток эксплуатации CVE-2024-27956.