В новой версии Firefox 58 устранены критические уязвимости

В новой версии Firefox 58 устранены критические уязвимости

Mozilla обновила свой браузер Firefox, устранив в нем более 30 уязвимостей. Пользователям рекомендуется как можно скорее обновить как обычную линейку (Firefox 58), так и линейку расширенной поддержки (ESR 52.6).

Обновление Firefox 58 включает исправления критических ошибок повреждения памяти (CVE-2018-5089 и CVE-2018-5090), которые могут быть использованы веб-страницами для выполнения вредоносного кода в браузере.

Десять из 32 зафиксированных ошибок включают в себя бреши, которые могут быть использованы на злонамеренных сайтах, чтобы привести к падению приложения, либо использоваться в качестве одной из ступеней атаки, приводящей к выполнению вредоносного кода.

Например, эксплойт для CVE-2018-5105 в WebExtensions позволит вредоносному сайту сохранять файлы на диск и запускать их без уведомления пользователя. А CVE-2018-5107 может разрешить веб-странице использовать функцию печати для доступа к некоторым локальным файлам.

С выпуском Firefox 58 Mozilla не только устранила множество уязвимостей, но и ускорила рендеринг графики и повысила производительность JavaScript для пользователей настольных компьютеров. Также была включена поддержка прогрессивных веб-приложений на Android и новые пункты меню для iOS.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимости в межсетевых экранах Cisco угрожали сотням тысяч устройств

В межсетевых экранах Cisco Adaptive Security Appliance и Firepower Threat Defense найдены две уязвимости, затрагивающие в общей сложности сотни тысяч устройств. Успешная эксплуатация этих дыр позволяет злоумышленнику провести DoS-атаку.

Проблемы выявил специалист Positive Technologies Никита Абрамов, который также объяснил, что для использования багов условный киберпреступник должен отправить специально созданный пакет.

«Если атака увенчается успехом, злоумышленник сможет вызвать отказ в обслуживании межсетевого экрана. После этого устройство перезагрузится, а пользователи уже не смогут попасть во внутреннюю сеть организации», — рассказывает эксперт.

«Поскольку проблема может затронуть и VPN-подключения, подобная атака способна повлиять на бизнес-процессы в условиях повсеместной удалённой работы. Масштаб выявленной уязвимости можно сравнить с CVE-2020-3259, которую нашли на 220 тысячах устройств».

Атакующему не потребуется проходить аутентификацию или получать какие-либо дополнительные права. Достаточно будет банальной отправки специального запроса по определённому пути. Как отметил Абрамов, уязвимость угрожает любой организации, использующей эти устройства для организации удалённого доступа сотрудников.

Бреши получили идентификаторы CVE-2021-1445, CVE-2021-1504 и 8,6 баллов по шкале CVSS 3.1. Таким образом, уязвимостям можно присвоить высокий уровень опасности. В Positive Technologies подчеркнули, что это логические ошибки, часто возникающие по вине разработчиков.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru