Mozilla выпустила обновление для Firefox, содержащее в себе патч от критической уязвимости под названием CVE-2019-17026. Всех пользователей этого браузера призвали срочно загрузить это обновление, так как найденной исследователями дырой в безопасности уже активно злоупотребляют кибермошенники.
К настоятельной рекомендации скачать патч присоединилось и Агентство по кибербезопасности и безопасности инфраструктуры США [Cybersecurity and Infrastructure Security Agency, CISA]. Как следует из информации на сайте CISA, воспользовавшись существующей уязвимостью, злоумышленник может получить полный контроль над системой жертвы.
«Во вторник 7 января 2020 года китайская компания Qihoo 360 сообщила об уязвимости, которая была использована при атаке на локальную сеть. Мы начали рассылать обновление для Firefox, защищающее от этой уязвимости, следующим утром», — заявил официальный представитель Mozilla.
Если вы пользуетесь Firefox, то проверьте текущую версию браузера — она должна быть 72.0.1. По умолчанию все обновления устанавливаются автоматически, но юзер может вручную отключить эту настройку. Если браузер все еще не обновлен, необходимо скачать новую версию принудительно, иначе сохраняется высокий риск хакерской атаки на ваше устройство. Mozilla не сообщила подробности, но подтвердила, что было зафиксировано уже несколько случаев, когда этой уязвимостью воспользовались злоумышленники.
Сообщается, что за день до актуального патча Mozilla выпустила еще один, «закрывающий» 11 других уязвимостей, шесть из которых были признаны опасными.
Предыдущая критическая уязвимость в Mozilla была найдена в июне 2019 года. Известно, что она так же находилась под атаками хакеров. Тогда злоумышленник мог вынудить пользователя открыть в браузере страницу с вредоносным JavaScript-сценарием, после чего получал полный контроль над системой жертвы.
В июле прошлого года браузер Mozilla Firefox был признан Торговой ассоциацией интернет-провайдеров Британии «интернет-злодеем года».
Причиной номинации стало решение Mozilla ввести в Firefox новую систему безопасности передачи данных DoH, которая отправляет DNS-запросы не по UDP, а по HTTPS.
Таким образом, пользователи получили возможность скрывать свои запросы для провайдера, но так как в Великобритании действуют ограничения на недопустимый контент, новая система браузера усложнила блокировку нежелательных материалов, что вызвало осуждение общественности.
В том же месяце зарубежные СМИ сообщили о том, что плагины для браузеров Google Chrome и Firefox представляют собой угрозу для личных данных пользователей. Расширениями для браузеров пользуется около половины всех пользователей ПК в мире — юзеры устанавливают расширения на свои браузеры, потому что ошибочно думают, что плагины из официальных магазинов Chrome или Firefox должны быть проверенными и безопасными.
Но, как оказалось, некоторые расширения имеют в своем функционале скрытую слежку за поведением пользователя в интернете.
При этом юзер даже не подозревает, что расширение не только следит за ним, но и тщательно собирает все данные, чтобы потом отправить их третьим лицам.
Чтобы обезопасить себя от сбора данных, ИБ-эксперты рекомендуют в настройках браузера отключить все возможные расширения, даже если они являются очень полезными и удобными.