Mozilla ასწორებს კრიტიკულ შეცდომებს Firefox 46-ში და პროგრესირებს Firefox 47-ში ვიდეო სტრიმინგისთვის დანამატის გარეშე მომავალზე გადასვლაში.
Firefox-ის ახალი ვერსია მოიცავს უსაფრთხოების 10 პრობლემის გამოსწორებას, რომლებიც ადრე გამოშვებებში იყო ნაპოვნი.
Mozilla-მ გამოუშვა Firefox 46 და გაასწორა მეხსიერების რამდენიმე ხარვეზი, რომლებიც თავდამსხმელს სისტემაზე კონტროლის უფლებას მისცემდა.
Firefox-ის ახალი ვერსია მოიცავს ასწორებს უსაფრთხოების 10 პრობლემას წინა გამოშვებებში, მათ შორის ერთი პრობლემა, რომელიც გამოწვეულია მეხსიერების უსაფრთხოების რამდენიმე შეცდომით ბრაუზერის ძრავში.
„ზოგიერთმა შეცდომებმა აჩვენა მეხსიერების გაფუჭების მტკიცებულება გარკვეულ გარემოებებში და ჩვენ ვვარაუდობთ, რომ საკმარისი ძალისხმევით, ზოგიერთი მათგანის გამოყენება შესაძლებელია თვითნებური კოდის გასაშვებად“, - Mozilla შენიშვნები საკონსულტაციოში.
განახლება ასევე აგვარებს Firefox-ის ოთხ მნიშვნელოვან პრობლემას, მათ შორის რთულ, მაგრამ არა შეუძლებელი დაუცველობის გამოყენებას, რომელიც აღმოაჩინა CESG-მა, გაერთიანებული სამეფოს ჯაშუშური სააგენტოს ინფორმაციული უსაფრთხოების ფილიალმა, GCHQ.
Mozilla აღნიშნავს, რომ CESG-მა აღმოაჩინა, რომ "JavaScript .watch() მეთოდი შეიძლება გამოყენებულ იქნას ძირეული HashMap-ის 32-ბიტიანი თაობის რაოდენობის გადასასვლელად, რაც გამოიწვევს არასწორი ჩანაწერის ჩაწერას."
"სწორ პირობებში ამ ჩაწერამ შეიძლება გამოიწვიოს კოდის თვითნებური შესრულება. გადასასვლელს დიდი დრო სჭირდება და მავნე გვერდი მოითხოვს მომხმარებლისგან ღიად შენარჩუნებას თავდასხმის ხანგრძლივობის განმავლობაში." Mozilla-მ განმარტა.
გაერთიანებული სამეფოს ნიუკასლის უნივერსიტეტის მკვლევარის მიერ აღმოჩენილი შეცდომების კიდევ ერთმა ჯგუფმა შეიძლება გამოავლინოს PIN კოდის მონაცემები Firefox-ზე Android-ზე. მკვლევარებმა დაადგინეს, რომ მათ შეძლეს ბრაუზერზე შეხების მოქმედებების დასკვნა მოწყობილობის ორიენტაციის მონაცემებისა და მოძრაობის სენსორების მეშვეობით.
„მათ იპოვეს დაუცველობა Firefox-ში Android-ისთვის ორიენტაციის მონაცემებისა და მოძრაობის სენსორების გამოყენებით მობილური მოწყობილობის ბრაუზერზე, რომელიც ხელმისაწვდომია JavaScript-ით“, Mozilla ნათქვამია საკონსულტაციოში.
კიდევ ერთი მაღალი ზემოქმედების ხარვეზი ეხება გამოყენების შემდეგ თავისუფალ და რბოლის მდგომარეობას, რომელიც მომდინარეობს სერვისის მუშაკებისგან, რომლებიც იყენებენ Address Sanitizer-ს. ამ ხარვეზმა შეიძლება გამოიწვიოს ავარია, Mozilla განაცხადა.
საბოლოოდ, განახლება აგვარებს პოტენციურად ექსპლუატირებად ავარიას libstragefright-ის ბიბლიოთეკაში ბუფერული გადინების ხარვეზის გამო.
"Adress Sanitizer-ის გამოყენებით, უსაფრთხოების მკვლევარმა Sascha Just-მა მოახსენა ბუფერის გადინება libstagefright ბიბლიოთეკაში CENC ოფსეტებთან და ზომის ცხრილებთან დაკავშირებული პრობლემების გამო. ეს იწვევს პოტენციურად ექსპლუატირებად ავარიას, რომელიც შეიძლება გამოიწვიოს ვებ კონტენტის საშუალებით. განაცხადა მოზილა.
Mozilla-მ ასევე გამოუშვა Firefox 47-ის და მისი საჯარო ბეტა გამოშვების შენიშვნები მიუთითეთ ორი მნიშვნელოვანი ცვლილება ვიდეოსა და დანამატების მართვაში.
ახლა ის საშუალებას მისცემს ჩაშენებულ YouTube ვიდეოებს დაკვრას HTML5 ვიდეოთი, თუ Adobe Flash არ არის დაინსტალირებული.
მან ასევე გაააქტიურა Google-ის Widevine CDM-ის მხარდაჭერა Windows-ზე და Mac OS X-ზე, რაც არის Mozilla-ს გრძელვადიანი გეგმის ძირითადი ნაწილი Netscape-ის წაშლის შესახებ. Plugin Application Programming Interface (NPAPI) მოდული მხარს უჭერს და აგვარებს უსაფრთხოებისა და სტაბილურობის პრობლემებს, როგორიცაა Adobe Flash მოთამაშე.
Mozilla-ს ადრე მხარს უჭერდა Adobe-ს Primetime CDM, რათა ჩართოთ DRM დაცული HTML5 ვიდეო ნაკადის დაკვრა. Widevine მხარდაჭერა საშუალებას აძლევს სტრიმინგს, რომელიც ეყრდნობა Silverlight-ს.
"ეს საშუალებას მისცემს ვებსაიტებს აჩვენონ DRM-ით დაცული ვიდეო კონტენტი Firefox-ში NPAPI დანამატების გამოყენების გარეშე," Mozilla აღნიშნა ამ თვის დასაწყისში.