Обновление Firefox’а позволит пользователям закрыть критическую брешь

По информации «Mozilla Corporation», разработчика используемого многими пользователями «огнелиса», в последней версии популярного браузера была устранена серьезная уязвимость.
red panda
Инженер Мозиллы обнаружил, что компоненты «сhrome» браузера уязвимы к действиям злоумышленников и легко позволяют выполнять произвольный код, находящийся на сайте в самом Firefox. Chrome (хром), о котором идет речь, это набор элементов UI (интерфейса пользователя), которые размещены вне пределов содержимого окна браузера. Фактически, к «хрому» относится все, что пользователь видит – меню, заголовки окон, вкладки, инструменты, окно загрузки и т.д.

По утверждению Хоффмана, из-за отсутствия изолированности элементов Firefox от содержимого окна, находящийся на сайте исполняемый код HTML может взаимодействовать с компонентами браузера. Таким образом, хакеру достаточно создать сайт, на котором будет вредоносный код и спокойно ждать посетителей с браузером, в котором имеется уязвимость, чтобы вредоносное ПО было установлено.

Особую серьезность проблеме придает то, что код может находиться в скрытом от пользователя контейнере iframe, что не помешает ему выполниться и даже получить доступ к компьютеру на системном уровне, так как уровень привилегий, получаемый вредоносным кодом, наследует права пользователя компьютера-жертвы. Как хорошо известно, сегодня просто невероятно огромное количество владельцев компьютеров попросту игнорирует советы по безопасности и используют учетную запись администраторского типа практически постоянно.

В последней версии браузера, до которой пользователям строго рекомендуется обновиться, внесены все исправления описанной уязвимости. Отметим, что пользователям версии ESR (релиз с расширенной поддержкой, используемый крупными предприятиями и организациями), равно как и фанатам «огнелиса» на устройствах с android, можно не обновляться – в расширенной и мобильной версии эта проблема не была идентифицирована.