Новости браузера Mozilla Firefox

[Administrator]

В браузере Mozilla Firefox устранены две уязвимости нулевого дня

Разработчики компании Mozilla выпустили новые версии веб-обозревателей Firefox 74.0.1 и Firefox ESR 68.6.1. Пользователям рекомендуется обновить свои браузеры, поскольку в представленных версиях исправлены две уязвимости нулевого дня, которые используются хакерами на практике.

Речь идёт об уязвимостях CVE-2020-6819 и CVE-2020-6820, связанных с тем, как Firefox управляет своим пространством памяти. Они представляют собой так называемые уязвимости использования памяти после высвобождения и позволяют хакерам размещать произвольный код в памяти Firefox для дальнейшего его выполнения в контексте браузера. Такие уязвимости могут использоваться для удалённого выполнения кода на устройствах жертвы.

Подробная информация о реальных атаках с использованием упомянутых уязвимостей не раскрывается, что является обычной практикой среди поставщиков программного обеспечения и исследователей в сфере информационной безопасности. Это связано с тем, что все они обычно ориентируются на оперативное устранение обнаруженных проблем и доставку исправлений пользователям, а уже после этого осуществляется более детальное расследование атак.

Согласно имеющимся данным, расследование атак с использованием этих уязвимостей Mozilla будет проводить совместно с ИБ-компанией JMP Security и исследователем Франциско Алонсо (Francisco Alonso), который первым и обнаружил проблему. Исследователь предполагает, что устранённые в последнем обновлении Firefox уязвимости могут затрагивать другие браузеры, хотя случаев, когда ошибки эксплуатировались хакерами в разных веб-обозревателях, неизвестны.

[Боты]

TVIZI - Кино и телевидение

Доступные пакеты TVIZI
1 плейлист - 2 устройства, без привязки к IP
Базовый пакет 2.5 $/месяц
Спортивный пакет 1 $/месяц
VIP пакет 3 $/месяц

➤ Перейти на TVIZI

IPTV от IPTV.ONLINE

Просмотр ваших любимых телепередач с любого устройства в любой точке мира.
1500+ каналов в SD, HD и 4K качестве.
Более 70 тысяч фильмов и сериалов доступно в медиатеке.

Пакеты IPTV.ONLINE
Базовый - 2.49$
Взрослый - 0.99$
Спортивный - 0.99$
VIP ALL - 3.49$

➤ Перейти на IPTV.ONLINE

Edem TV (ILook.tv)

Всего за $1 в месяц, вы получаете около 800 каналов
Архив телепередач на все каналы, за 4 дня.
А также возможность выбрать наиболее подходящий GeoIP сервер.

➤ Перейти на Edem TV

[Administrator]

Mozilla увеличивает вознаграждения за баги в Firefox

Программа вознаграждения за обнаруженные уязвимости существует у Mozilla с 2004 года. В период с 2017 по 2019 год организация выплатила исследователям около миллиона долларов за 350 различных багов. Хотя средняя сумма награды за этот период составляет приблизительно 2700 долларов, наиболее часто присуждаемая сумма вознаграждения равняется 4000 долларов.

В конце 2019 года, в честь пятнадцатилетия браузера Firefox, Mozilla уже расширяла свою программу bug bounty, распространив ее на целый ряд новых сайтов и сервисов. Тогда выплаты за удаленное выполнение кода на критически важных сайтах были увеличены сразу втрое – до 15 000 долларов США.

Теперь же представители Mozilla сообщили, что в bug bounty вновь вносят приятные для исследователей изменения.

Так, отныне за обнаружение наиболее критических уязвимостей исследователи смогут получить до 10 000 долларов (если описание проблемы будет сопровождаться высококачественным отчетом). К таким уязвимостями относятся, к примеру, побег из песочницы или выполнение произвольного кода.

Другие серьезные проблемы, такие как нарушение целостности информации в памяти, обход same origin, приводящий к утечке пользовательских данных, и получение IP-адреса пользователя при настроенном прокси-сервере, теперь могут принести исследователям от 3000 до 5000 долларов.

Кроме того, Mozilla сообщает, что теперь багхантеры могут сообщать об один и тех же уязвимостях (независимо друг от друга), и никто не останется обиженным. Дело в том, что это весьма распространенная проблема среди исследователей: эксперты внимательно изучают сборки Firefox Nightly, и нередко несколько человек обнаруживают одни и те же уязвимости с разницей всего в нескольких часов. Теперь в Mozilla решили, что вознаграждение за такие ошибки будет делиться между всеми исследователями, которые сообщили о проблеме в течение 72 часов после подачи первого багрепорта.

[Administrator]

Браузер Firefox теперь предупреждает пользователя об утечке пароля
05.05.2020
Mozilla сегодня выпустила стабильную версию браузера Firefox 76 для настольных ОС Windows, macOS и Linux. Новый релиз вышел с исправлениями ошибок, патчами безопасности и новыми возможностями, самые интересные из которых заключаются в улучшенном менеджере паролей Firefox Lockwise.

Изюминкой версии Firefox 76 являются нововведения, добавленные во встроенный менеджер паролей Firefox Lockwise (доступен по адресу about:logins). Во-первых, Lockwise станет запрашивать у пользователя данные от его учетной записи в установленной ОС Windows или macOS (если не установлен мастер-пароль), прежде чем показывать какие-либо пароли в открытом виде. Компания Mozilla заявила, что добавила эту функцию по просьбе сообщества Firefox. Ранее пользователи жаловались на то, что злоумышленник мог дождаться пока владелец ПК отойдет от своего рабочего места, а затем быстро получить доступ к встроенному менеджеру паролей Firefox, чтобы найти и скопировать пароли на обычный лист бумаги.

Во-вторых, теперь встроенный менеджер паролей Firefox сканирует все сохраненные пароли пользователя на предмет утечки. Компания-разработчик сообщает, что если один из паролей пользователя идентичен паролю, который ранее был скомпрометирован в Интернете, браузер покажет соответствующее предупреждение с рекомендацией изменить пароль. Так как этот пароль теперь, скорее всего, является частью списков словарей паролей, которые хакеры используют для брут-форса.

В-третьих, Lockwise получил ещё одно повышение уровня безопасности, которое заключается в интеграции сервиса с Firefox Monitor. Данная платформа позволяет пользователям проверять, не оказались ли их учетные данные в Интернете. Начиная с Firefox 76, Lockwise будет также показывать предупреждения для сайтов, которые недавно столкнулись с нарушением безопасности (например, пароли от которых попали в хакерские базы), призывая пользователей изменить свои учетные данные.

Mozilla заверяет, что не нужно паниковать по поводу представленных новшеств безопасности, поскольку веб-браузер Firefox оперирует не самими паролями, а зашифрованными версиями учетных данных, дабы сохранить конфиденциальность своих пользователей.

Обновиться до Firefox 76 можно с помощью встроенного инструмента обновления браузера, доступного в разделе «Справка» -> «О Firefox» (Help -> About Firefox).

[MAXSIMUS]

Mozilla начала бета-тестирование собственного VPN-сервиса Компания Mozilla объявила о начале бета-тестирования собственного VPN-сервиса Firefox Private Network. На данный момент присоединиться к тестированию могут пользователи из США, но разработчики рассчитывают сделать сервис доступным ещё в нескольких регионах мира до конца этого года.

Пользователи сервиса могут подключать по VPN до пяти устройств, работающих под управлением Windows, Android или iOS. На данный момент macOS и Linux не поддерживаются, но в будущем разработчики планируют исправить это. Взаимодействие с сервисом осуществляется на платной основе, стоимость подписки составляет $5 в месяц, что является стандартной ценой за возможность использовать платный VPN-сервис.
Также было объявлено, что после выхода из бета-тестирования Firefox Private Network станет полностью автономным продуктом и будет предлагаться пользователям под названием Mozilla VPN. Работа над сервисом велась совместно со шведским разработчиком виртуальной частной сети Mullvad VPN, для подключения к которой используется протокол WireGuard. Пользователям будет предоставляться возможность работы через серверы, расположенные в 30 странах.
«Мы хотели бы поблагодарить наших бета-тестеров за сотрудничество с нами. Ваши отзывы и поддержка позволили нам запустить Mozilla VPN. Мы прилагаем все усилия, чтобы официальный продукт Mozilla VPN был доступен в некоторых регионах мира в этом году. Мы будем продолжать предлагать Mozilla VPN по текущей модели ценообразования в течение ограниченного времени, что позволяет защищать до пяти устройств на Windows, Android и iOS по цене $5 в месяц»

[MAXSIMUS]

Mozilla запустит собственный VPN-сервис в ближайшие недели Организация Mozilla сообщает, что ее VPN-сервис наконец будет запущен официально, и произойдет это в ближайшие несколько недель. Продукт был переименован и теперь называется не Firefox Private Network, а Mozilla VPN, и смена названия, по сути, связана со сменой курса разработки. Дело в том, что Mozilla решила отказаться от идеи создания VPN-расширения для Firefox и перешла к разработке полноценного VPN-клиента, способного справляться с трафиком всей ОС, включая другие браузеры.

В настоящее время сервис доступен для Windows, Chromebook, Android, iOS и Firefox, но в планах у разработчиков создание Mac-клиента и решения для Linux, которые хотят представить одновременно.Когда Mozilla VPN выйдет из беты, сервис будет доступен только для пользователей из США. Запустить VPN в других странах и регионах обещают до конца текущего года.

Что касается стоимости, производитель заявил, что пока, в течение ограниченного периода времени, продолжит предлагать Mozilla VPN по текущим ценам, что позволит защищать до пяти устройств на Windows, Android и iOS по цене 4,99 долларов США в месяц.

Напомню, что проект Mozilla VPN стартовал осенью прошлого года. Бета-версия была доступна только для жителей США, но Mozilla сообщает, что пользователи более чем из 200 стран мира тоже зарегистрировались в списке ожидания.

VPN организации работает путем маршрутизации трафика через сеть доверенных прокси. Так, расширение для браузера использует серверы Cloudflare, тогда как полноценный VPN полагается в работе на серверы Mullvad и опенсорсный протокол WireGuard VPN, ранее в этом году добавленный в ядро ​​Linux.

После запуска бета-версии сервиса в прошлом году Mozilla столкнулась со множеством вопросов о том, как сервис будет работать. Теперь разработчики запустили специальные страницы FAQ и поддержки, как для расширения, так и для полнофункционального VPN, где пользователи могут найти ответы.

[MAXSIMUS]

Firefox 79 сделает ссылки безопаснее В новой версии браузера Firefox 79 организация Mozilla планирует представить изменение, которое позволил сделать обработку ссылок безопаснее В Firefox Nightly еще в ноябре 2018 года появилась опция, которая добавляет к ссылкам с атрибутом target="_blank" дополнительно атрибут rel="noopener".

Атрибут target="_blank" указывает браузеру, что ссылку нужно открывать в новой вкладке браузера, а не в текущей вкладке.

Проблема с target="_blank" заключается в том, что целевой ресурс, доступный по ссылке, получает полный контроль над объектом window исходной страницы, даже если она расположена на другом сайте. Вы можете использовать следующую безобидную демонстрацию, чтобы проверить, как доступный по ссылке ресурс может манипулировать контентом на первоначальной странице.

Данная техника может использоваться для фишинг-атак и для подмены информации на исходной странице. Пользователь, который вернется на первоначальную страницу, может не заметить изменений.

Кроме того, этот прием может использоваться рекламными сетями, например для отображения рекламных объявлений на исходной странице со ссылкой.Вебмастера могут вручную прописывать атрибут rel="noopener" для ссылок или настроить скрипт для автоматической подстановки атрибута, чтобы защитить пользователей от подобных манипуляций.

Mozilla планирует добавлять rel="noopener" для всех ссылок, использующих target="_blank", начиная с Firefox 79. Интересно, что использование атрибута rel="noopener" также положительно сказывается на производительности.

Релиз Firefox 79 запланирован на 28 июля. Неясно, почему организации понадобилось столько времени, чтобы представить функцию в стабильной версии Firefox.

Apple представила аналогичную функциональность в браузере Safari в марте 2019 года, а Google только собирается реализовать подобный функционал в Chrome.

Кроме того, аналогичную функциональность можно получить с помощью сторонних расширений. Например, плагин Don't Touch My Tabs умеет автоматически подставлять rel="noopener".

А вы проверяете ссылки перед тем, как по ним кликнуть?

[MAXSIMUS]

В Firefox добавлено ускорение декодирования видео через VA-API для систем X11 В кодовую базу Firefox, на основе которой 25 августа будет сформирован релиз Firefox 80, добавлено изменение, отключающее для Linux привязку поддержки аппаратного ускорение декодирования видео к системам на базе Wayland. Ускорение обеспечивается при помощи VA-API (Video Acceleration API) и FFmpegDataDecoder. Таким образом, поддержка аппаратного ускорения видео через VA-API станет доступна и для Linux-систем, использующих протокол X11.Ранее стабильное аппаратное ускорение видео обеспечивалось только для нового бэкенда, использующего Wayland и механизм DMABUF. Для X11 ускорение не применялось из-за проблем с gfx-драйверами. Теперь проблема с задействованием ускорения видео для X11 решена через использование EGL. Также для систем с X11 реализована возможность работы WebGL через EGL, которая в будущем позволит включить для X11 и поддержку аппаратного ускорения WebGL. В настоящее время данная возможность пока остаётся отключённой по умолчанию (включается через widget.dmabuf-webgl.enabled), так как не все проблемы пока решены.

Для активации работы через EGL предусмотрена переменная окружения MOZ_X11_EGL, после установки которой Webrender и компоненты композититинга OpenGL переключаются на использование EGL вместо GLX. Реализация основана на новом бэкенде для X11 на базе DMABUF, который подготовлен путём разделения DMABUF-бэкенда, ранее предложенного для Wayland.

Дополнительно можно отметить включение в кодовой базе, на основе которой формируется выпуск Firefox 79, системы композитинга WebRender для ноутбуков на базе чипов AMD на платформе Windows 10. WebRender написан на языке Rust и позволяющая добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU за счёт выноса на сторону GPU операций отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. Ранее WebRender был включён на платформе Windows 10 для GPU Intel, APU AMD Raven Ridge, AMD Evergreen и на ноутбуках с видеокартами NVIDIA. В Linux WebRender пока активируется для карт Intel и AMD только в ночных сборках, и не поддерживается для карт NVIDIA. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.

В Firefox 79 также по умолчанию добавлена настройка для включения динамической изоляции Cookie по отображаемому в адресной строке домену ("Dynamic First Party Isolation", когда свои и сторонние вставки определяются на основе базового домена сайта). Настройка предложена в конфигураторе в секции настройки блокировки отслеживания перемещений в выпадающем блоке методов блокировки Cookie. Также в Firefox 79 активирован по умолчанию новый экран с экспериментальными настойками - "about:preferences#experimental", предоставляющий интерфейс для включения экспериментальных возможностей, похожий на about:flags в Chrome.

[MAXSIMUS]

Mozilla запустила VPN для Windows и Android Mozilla завершила бета-тестирование своего VPN-сервиса — пока он стал доступен в 6 странах мира на Windows и Android, пишет The Verge.Новым сервисом для безопасного интернет-сёрфинга могут воспользоваться жители США, Великобритании, Канады, Новой Зеландии, Сингапура и Малайзии. Подписка стоит $4,99 в месяц.

В течение 2020 года Mozilla VPN появится в остальных странах. В ближайшее время выйдет версия для iOS.

Сервис, по словам Mozilla, имеет несколько преимуществ перед конкурентами: во многих случаях он будет работать быстрее, потому что построен на базе легковесного протокола WireGuard. Также он обходит их в плане приватности, поскольку собирает только ту информацию, которая необходима для его функционирования.

[MAXSIMUS]

Firefox 78 и Firefox ESR 78: в чём отличия? Новая версия веб-браузера Firefox 78 стала крупным релизом как для стабильной ветки браузера, так и для ветки с долгосрочной поддержкой ESR (Extended Support Release). Версия Firefox ESR обновилась с 68.x на 78.x 30 июня организация Mozilla выпустила Firefox 78 и Firefox ESR 78.

Новая версия Firefox ESR получила большое количество изменений в рамках данного крупного релиза. Остальные обновления ESR обычно включает исправления и улучшения безопасности и не поставляются с новым функционалом, как стабильная версия каждые 4 недели. В новой версии ESR как раз появились новые функции, которые были представлены в последних восьми релизах Firefox Stable.[spoiler]Администраторы Firefox могут продолжать использовать Firefox ESR 68.x на данный момент. Mozilla будет выпускать дополнительные обновления для этой конкретной версии браузера. Поддержка старой версии завершится в течение 8 недель, когда состоится релиз Firefox ESR 78.2 и Firefox 80 соответственно.

Хотя во многом функции Firefox 78 Stable и Firefox ESR 78 пересекаются, существует и несколько различий между данными версиями.

Firefox ESR 78: без WebRender
Mozilla представила поддержку WebRender в Firefox 67, но только для небольшой группы пользователей. Организация начала постепенно включать WebRender на других устройствах, но еще не внедрила его полностью для всех установок Firefox.

WebRender используется для отображения веб-страниц и приложений с помощью видеокарты. Основным преимуществом WebRender является то, что он значительно повышает производительность при серфинге.

WebRender отключен в Firefox ESR 78.

Firefox ESR 78: отключено обнаружение MITM
Firefox может определить, использует ли программное обеспечение на устройстве реализации MITM (Man in the Middle, «человек посередине»). Данная техника обычно применяется антивирусным ПО и может привести к проблемам безопасности и к проблемам загрузки контента из Интернета.

Firefox 78 Stable поддерживает обнаружение MITM, но в Firefox ESR 78 данная функция по умолчанию отключена. Если стабильная версия Firefox распознает проблему соединения, вызванную MITM, то она устанавливает для параметра security.enterprise_roots.enabled значение true и снова пытается установить соединение.Параметр сбрасывается на false, если установить соединение все же не удается. Если соединение стало стабильным, то параметр true остается на постоянной основе.

Пользователи Firefox могут включить эту функцию вручную, установив для параметр security.certerrors.mitm.auto_enable_enterprise_roots значение true.

Firefox ESR 78: использование клиентских сертификатов включено по умолчанию
Firefox поддерживает собственное хранилище сертификатов, которое является хранилищем по умолчанию для всех версий, кроме ESR. Firefox ESR по умолчанию поддерживает использование клиентских сертификатов.

Администраторы могут отключить эту функцию, установив для параметра security.enterprise_roots.enabled значение false.

Firefox ESR 78: возможность отключить требование подписи расширений
Mozilla ввела обязательные подписи для расширений еще в Firefox 43. Надстройки, которые пользователи хотят установить в Firefox, должны быть подписаны.

Однако, каналы Firefox Nightly, Developer и Firefox ESR позволяют пользователям отключить данное требование.

Для этого администраторам необходимо изменить значение параметра xpinstall.signatures.required на false.

Firefox ESR 78: дополнительные корпоративные политики и обновления
Следующие политики были добавлены или обновлены в Firefox ESR 78:

(Новое) Handlers – настройка обработчиков приложений по умолчанию.
(Новое) MasterPassword- позволяет указать, требуется ли мастер-пароль, и позволяет запретить его установку
(Новое) PDFjs – отключение или настройка встроенного средства просмотра PDF в Firefox.
(Новое) DisableDefaultBrowserAgent – только для Windows. Запретите браузерному агенту по умолчанию предпринимать какие-либо действия.
(Обновлено) ExtensionSettings – новая опция для доменов с ограничениями для предотвращения расширения доступа.
(Обновлено) DisabledCiphers – опция для включения отключенных в Firefox шифров.
Какую версию Firefox используете вы и почему?[/spoiler]

[MAXSIMUS]

Mozilla воспользовалась push-уведомлениями для распространения политической рекламы в Firefox
25.07.2020 Пользователи мобильной версии Firefox для Android выражают возмущение нецелевым использованием функции доставки push-уведомлений для распространения рекламы публикации в блоге Mozilla с призывом подписать петицию StopHateForProfit, направленную против поддержки ненависти, расизма и дезинформации в Facebook. Уведомление было отправлено через активный по умолчанию канал "default2-notification-channel", предусмотренный для отправки важных технических уведомлений. Применение подобного канала для доставки политически ангажированной рекламы является неприемлемым и рассматривается некоторыми пользователями как нарушение миссии Mozilla.

Сама акция StopHateForProfit, которая связана с борцами за расовую справедливость, является достаточно с задорной и воспринимается некоторыми как ущемление свободы слова. Facebook призывают к нарушению нейтралитета и более активной защите от нападок на чернокожих пользователей и LGBTQ+, противодействию антисемитизму и выборочной фильтрации политических мнений. Недовольство связано с допущением в социальной сети подстрекательства к насилию против протестующих и влияющих на выборы политических вбросов, а также с отнесением сайтов Breitbart News и The Daily Caller, активно критикующего протестное движение и сотрудничающих с националистами, к надёжным источникам новостей и проверенным фактам.