В Firefox пропатчили уязвимость 0-day и включили поддержку HTTPS-Only

Татьяна Никитина 18 Ноября 2020 - 16:09

Домашние пользователи

...

Компания Mozilla анонсировала выпуск Firefox 83 и активацию режима HTTPS-Only. Разработчик также устранил 21 уязвимость, в том числе баг нулевого дня в движке Chromium, который злоумышленники уже пробовали использовать в атаках.

Уязвимость 0-day в Chromium (CVE-2020-15999) в прошлом месяце раскрыли участники проекта Google Project Zero. Она связана с работой библиотеки FreeType и относится к классу «переполнение буфера». На момент появления патча для Chrome эксплойт CVE-2020-15999 уже засветился в целевых атаках — злоумышленники пытались применить его в связке с CVE-2020-17087 для Windows.

Разработчики Firefox оценили этот баг как умеренно опасный: он проявляется лишь при определенных настройках браузера и затрагивает только версии Firefox для Linux и Android.

Режим HTTPS-Only, согласно описанию, предусматривает приоритетное использование шифрованных соединений при заходе на сайты. При его включении Firefox автоматически пытается перенаправить все HTTP-запросы на защищенный вариант страниц, меняя http:// в адресной строке на https://. Если HTTPS-альтернатива недоступна, браузер выдает ошибку, предлагая продолжить загрузку страницы по HTTP.

Опция HTTPS-Only в Firefox по умолчанию деактивирована, включить ее можно, открыв в настройках раздел «Приватность и защита».

Остальные нововведения, перечисленные в анонсе Mozilla, призваны повысить производительность браузера, расширить его функциональность либо предоставить пользователям дополнительные удобства.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 14 Ноября 2025 - 14:08

Windows Бэкдоры Целевые атаки Таргетированные атаки Корпорации F6

Финансам и ретейлу от имени ФСБ РФ раздают бэкдор под видом КриптоПро CSP

В F6 фиксируют вредоносные рассылки на адреса российских ретейлеров, микрофинансовых учреждений, коллекторских агентств, страховых компаний. При открытии аттача предлагается загрузить СКЗИ КриптоПро, а на самом деле — Windows-бэкдор.

Поддельные имейл-сообщения написаны от имени ФСБ России. Получателя просят ознакомиться с рекомендациями на случай теракта либо в течение суток представить отчет о тренинге по противодействию информационным атакам.

Инициатором адресных рассылок, по данным экспертов, является кибергруппа, которую они называют CapFIX. Адреса отправителя фейковые — некое российское турагентство либо ИТ-компания.

Для открытия и корректного отображения вложенного PDF предлагается скачать КриптоПро CSP. Ссылка под вставленной кнопкой привязана к сайту, зарегистрированному полтора месяца назад (sed documents[.]com).

Отдаваемый RAR-архив, якобы с инсталлятором СКЗИ КриптоПро, устанавливает в систему x64-версию CapDoor.