CVE-2019-11708 позволяет злоумышленнику удаленно выполнить произвольный код на системе жертвы, заманив ее на вредоносный сайт. «По причине недостаточной проверки параметров в сообщениях Prompt:Open IPC между дочерним и родительским процессами родительский процесс за пределами песочницы может открывать web-контент, выбранный скомпрометированным дочерним процессом», - сообщается в уведомлении безопасности компании Mozilla.

О первой исправленной на этой неделе уязвимости производителю стало известно еще в апреле нынешнего года от исследователя из Google Project Zero. Тем не менее, о второй проблеме Mozilla узнала лишь на прошлой неделе, когда киберпреступники стали эксплуатировать ее в связке с первой для атак на пользователей криптовалютной платформы Coinbase.

Исследователь безопасности Патрик Уордл также выявил отдельную кампанию с использованием первой уязвимости в атаках на пользователей macOS.

Сложно сказать, обнаружили ли киберпреступники уязвимость самостоятельно, и атаки просто совпали с публикацией отчета о ней, или же они взяли ее на вооружение, каким-то образом заполучив в свои руки отчет.

Обе вышеупомянутые уязвимости исправлены в версиях Firefox 67.0.4 и Firefox ESR 60.7.2. В базирующемся на Firefox браузере Tor первая проблема устранена в версии 8.5.2. Ожидается, что в скором времени выйдет еще одно обновление, исправляющее уже второй баг.

Суть в том, что ранее этот метод уже применялся, но лишь в явном виде. Проще говоря, при запуске браузера его надо было активировать вручную. Теперь же планируется, что обновления будут идти в отдельном процессе вне зависимости от того, запущен браузер в настоящий момент или нет.

На данный момент эта функция используется в ночных сборках Firefox. После её появления в релизе больше не потребуется открывать страницу «О программе», чтобы система проверила наличие обновлений.

Пока что не сообщается, какие ещё нововведения ожидается в семидесятой версии браузера. Однако, похоже, изменением метода загрузки обновлений всё не ограничится. Проблема «рыжего браузера» состоит в малой доле рынка, потому наверняка разработчики будут искать разные способы улучшения финансовой ситуации.

В частности, до конца года планируется запустить платный сервис Firefox Premium, который будет включать в себя фирменное облако, VPN и некоторые другие «плюшки». Цена и условия пока не уточняются, но на текущий момент ситуация выглядит не слишком хорошей. Ведь, по сути, аналоги предлагают и другие браузеры, причём бесплатно.

Можно лишь допустить, что Firefox Premium получит некие дополнительные возможности, аналогов которым пока нет у конкурентов. В противном случае надеяться Mozilla особо не на что.

Track THIS пытается запутать рекламные алгоритмы, открывая в браузере сразу сотню вкладок.

Инструмент предлагает на выбор одно из четырех "альтер эго", от которого будет зависеть содержание открытых сайтов и рекламы впоследствии:

Хайпбист (Hypebeast),
Неприлично богатый (Filthy Rich),
Конец света (Doomsday),
Лидер мнений (Influencer).

Перед использованием инструмента Firefox рекомендует привести в порядок и сохранить все важные вкладки. После чего следует выбрать один из профилей, подтвердить, что вы готовы открыть 100 вкладок, закрыть все 100 вкладок и открыть новое окно. В итоге содержание рекламных объявлений изменится на основе этих вкладок, однако такие изменения, как отмечается, могут продержаться всего несколько дней, после чего реклама вновь станет отражать реальные предпочтения пользователя.

инструмент Track THIS работает в браузерах Chrome, Safari, Firefox и Edge, однако не оптимизирован для мобильных устройств.

Новий Firefox для Android був доступний вже кілька місяців під назвою Firefox Preview. Mozilla зазначає, що браузер працює у два рази швидше, ніж поточний Firefox, і за замовчуванням пропонує захист від скриптів відстеження. Інтерфейс був повністю перероблений, з нижнім адресним рядком та функцією «Колекції» для організації сайтів. І, звісно ж, він має підтримку темної теми.

В новій версії використовується GeckoView – модифікована версія рушія Firefox для ПК. Створення браузера на GeckoView забезпечує гнучкість з точки зору типів функцій конфіденційності та безпеки. З ним є можливість розробляти швидші, безпечніші та зручніші браузери, які забезпечуватимуть безпрецедентну продуктивність. Підтримка розширень у браузері поки що відсутня, але розробники над нею працюють. Mozilla сподівається замінити поточну версію Firefox на Fenix вже цієї осені.

Суть в том, что такая технология позволит обходить ограничения фильтрации контента, принятые в стране. В этом разработчиков обвинила организация Internet Services Providers Association (ISPAUK). Суть в том, что DoH отправляет DNS-запросы не по UDP, а по HTTPS, что позволяет скрывать их в обычном трафике. Помимо этого, соединения работают на уровне операционной системы и между приложениями.

В Великобритании от операторов требуют блокировок сайтов с экстремистскими материалами, детской порнографией и тому подобным. Но использование DoH серьёзно усложнит эту работу. Большинство операторов выступают против этой технологии, хотя та же British Telecom поддерживает её.

Ещё одним номинантом на премию стал президент США Дональд Трамп за его торговую войну с Китаем. А третьим претендентом — Статья 13 «Директивы об авторском праве» ЕС. Согласно ей, в социальных сетях нужно внедрять технологии распознавания контента, что возмущает многих пользователей и экспертов.

При этом ранее китайские специалисты обнаружили первое в мире вредоносное ПО, которые использует протокол DoH для связи с сервером. Оно называется Godlua и является DDoS-ботом для атак. По мнению специалистов, эта система может серьёзно усложнить работу средств сетевой безопасности, поскольку DoH-запросы не видны в общем трафике.

На самом деле, функционал и возможности данной подписки на этом не заканчиваются, однако в этом и состоит ее главная идея. Учитывая тот факт, что сама компания Mozilla живет преимущественно за счет различных добровольных проектов с партнерами и не требует параллельно денег от своих пользователей, становится понятно, что ее финансовая часть всегда несколько страдает от столь выраженного альтруизма.

Именно с этим и связано решение запустить платную подписку, которая всего за 5 долларов США в месяц позволит пользователю браузера Firefox не только избегать разного рода навязчивой рекламы, но также наслаждаться аудио-версиями прочитанных статей и прочего текста в интернете – благодаря наличию специальных умных алгоритмов. Кроме того, компания Mozilla сообщает, что некоторая часть стоимости подписки – которую сложно назвать чрезмерной – пойдет на оплату партнерства с теми сайтами и сервисами, которые будут поддерживать полный функционал данных алгоритмов от компании, что представляет собой действительно взвешенное решение.

Кроме того, некоторые пользователи браузера Firefox, участвующие в подписке и некоторых сторонних коммерческих предложениях от Mozilla смогут также рассчитывать на некоторые дополнительные преимущества от его использования – впрочем, об этом компания пока умалчивает. Становится понятно, что представленный проект являет собой действительно продуманный и интересный вариант выхода из затрудненного финансового положения, в котором оказалась компания в последнее время.

Дополнения браузера

В числе основных нововведений версии стоит отметить обновлённый и переписанный менеджер дополнений, который теперь базируется на HTML и JavaScript. Отныне каждое дополнение получило отдельные вкладки с описанием, настройками и т. п. Для активации дополнений теперь используются не кнопки, а контекстное меню, а отключённые расширения теперь отделены от активных.

Помимо этого, появилась секция с рекомендациями. Они формируются на основе используемых расширений, настроек браузера и так далее. А ещё появилась кнопка для связи с разработчиками тем и дополнений. Это позволяет сообщить им о неразрешённой активности, проблемах и проч.

Блокировка видеорекламы и трекеров отслеживания

Браузер научился блокировать видеорекламу, автоматически воспроизводящуюся при открытии статей и ссылок. Кроме того, Firefox будет лучше защищать пользователей от рекламных трекеров.

При этом строгий режим блокировки отключает не только сторонние cookie и системы отслеживания, но даже JavaScript-элементы, которые могут майнить криптовалюту или шпионить за пользователями.

Новая адресная строка и «тёмный» режим чтения

В Firefox 68 появилась новая адресная строка Quantum Bar. Внешне и функционально она практически идентична старой адресной строке Awesome Bar, но «под капотом» она совсем другая. В частности, разработчики отказались от XUL/XBL в пользу Web API и добавили поддержку WebExtensions. Помимо этого, строка стала быстрее и более отзывчивой.

А ещё появилась полноценная тёмная тема для режима чтения. При этом все элементы окна и панели перекрашиваются в требуемый цвет. Ранее это касалось только области с текстовым контентом.

Также были добавлены многочисленные улучшения для разработчиков. При этом отметим, что мобильная версия Firefox 68 станет последней. Релиз Firefox 69, который ожидается 3 сентября, а также последующие будут представлены в виде исправлений ESR-ветки под номером 68. Вместо него будет новый браузер, предварительный выпуск под именем Firefox Preview уже доступен. К слову, сегодня опубликовали корректирующее обновление 1.0.1.

Mozilla строит новый функционал вместе с ресурсом Have I Been Pwned, который содержит базу взломанных электронных ящиков пользователей и паролей. Firefox будет сканировать сохранённые в браузере учётные данные. Если они оказались в списках Have I Been Pwned, Firefox оповестит пользователя и предложит сменить их.

Рядом с сохранённым взломанным логином появится иконка треугольника с восклицательным знаком в менеджере паролей Firefox Lockwise. При нажатии на логин откроется панель с надписью о том, что произошла утечка или кража пароля. Однако функция будет работать только в случае взломов, в ходе которых были скомпрометированы пароли, и при условии, что они были сохранены до того, как это произошло.

Также Mozilla планирует запустить специальный отчёт, где будет отображать статистику числа взломов данных с участием логинов пользователя. Его можно будет просмотреть по адресу about: protections.

В официальном сообщении разработчиков говорится о том, что Firefox Reality VR использует повышенную производительность и мощность Oculus Quest, чтобы обеспечить лучший опыт просмотра веб-страниц в виртуальной реальности.

Браузеры для виртуальной реальности используют веб-технологию, которая адаптирована для VR-пространства. Это позволяет разработчикам создавать виртуальные трёхмерные пространства, охватывающие несколько устройств VR. Владельцы автономной гарнитуры от ........ смогут взаимодействовать с сайтами, просматривать видео и погружаться в виртуальную реальность через браузер, который, помимо прочего, имеет включённую по умолчанию защиту от отслеживания, что повышает уровень конфиденциальности в процессе взаимодействия с контентом.

В настоящее время браузер Firefox Reality поддерживает 10 языков, в том числе упрощённый и традиционный китайский, японский и корейский. Позднее разработчики планируют интегрировать поддержку большего количества языков.

Нельзя сказать, что появление браузера Mozilla в Oculus Quest является чем-то революционным, поскольку прежде пользователи имели стандартный обозреватель от производителя. Однако теперь у владельцев одного из самых популярных устройств на рынке виртуальных гарнитур есть альтернативный браузер, у которого, вероятнее всего, найдётся немало поклонников.

Экспериментальные сборки WebThings Gateway 0.9 доступны на GitHub для маршрутизатора Turris Omnia. Также поддерживается прошивка для одноплатного компьютера Raspberry Pi 4. При этом пока говорится о базовой функциональности, хотя в будущем эта система может «дорасти» до полноценной прошивки.

Дистрибутив WebThings Gateway основан на OpenWrt, операционной системе Linux, предназначенной для встроенных устройств. Он нацелен на стандартные потребительские маршрутизаторы и может использоваться в точках доступа Wi-Fi. Исходный код и все данные есть на GitHub.

В сборке 0.9 появились новые возможности уведомления хозяев. К примеру, можно настроить систему так, что при фиксации движения в доме, когда хозяев нет, им приходит письмо на электронную почту.

Предыдущая версия WebThings Gateway под номером 0.8 в своё время научилась записывать и визуализировать данные с подключённых датчиков «умного дома», получила новые сигналы тревоги в случае пожара, задымления или несанкционированного проникновения.

В целом, тематика умного дома и Интернета вещей продолжает развиваться. И тот факт, что Mozilla занимается разработкой открытого ПО для шлюзов, весьма радует. Ведь зачастую на рынке представлены проприетарные решения, которые работают только в собственной экосистеме.

Дана платформа являє собою експериментальний проект фахівців компанії Mozilla, які намагалися на його основі створювати і тестувати різні можливості та аспекти свого програмного забезпечення. Завдяки цьому сервісу безліч корисних сервісів стали реальністю, так що говорити про марність проекту точно не варто.

В официальном сообщении разработчиков говорится о том, что Firefox Reality VR использует повышенную производительность и мощность Oculus Quest, чтобы обеспечить лучший опыт просмотра веб-страниц в виртуальной реальности. Браузер Firefox Reality поддерживает 10 языков, в том числе упрощённый и традиционный китайский, японский и корейский.

Браузеры для виртуальной реальности используют веб-технологию, которая адаптирована для VR-пространства. Это позволяет разработчикам создавать виртуальные трёхмерные пространства, охватывающие несколько устройств VR. Владельцы автономной гарнитуры смогут взаимодействовать с сайтами, просматривать видео и погружаться в виртуальную реальность через браузер, который, помимо прочего, имеет включённую по умолчанию защиту от отслеживания, что повышает уровень конфиденциальности в процессе взаимодействия с контентом.

«Ми ще не прийняли рішення про створення режиму Tor. Ми продовжуємо вивчати, як ми можемо найкращим чином підтримати використання Firefox командою розробників Tor через проект Tor Uplift, а також можливі майбутні інтеграції, які поліпшать досвід наших користувачів».

Наразі, Mozilla розробляє преміальну версію Firefox, яка пропонує нові функції конфіденційності, а також платну підписку та відсутність реклами. Цілком можливо, що майбутня безкоштовна версія браузера зможе запропонувати повну інтеграцію з Tor. Але це займе багато часу. Якщо ви не можете чекати, стороннє розширення браузера Onion Browser Button виконує ту ж роботу, дозволяючи вам підключатися до мережі Tor при використанні Firefox.

Однако за дополнительную безопасность приходится платить увеличенным расходом оперативной памяти, что и произойдет в обновленной версии Mozilla Firefox 70. Уже сейчас доступна первая «ночная» сборка Firefox 70 с реализованной системой изоляции сайтов, которая предполагает усиление безопасности по сравнению с оригинальной схемой разделения задач на процессы.

По умолчанию новая схема разделения процессов не включена в Firefox 70 Nighly — её нужно активировать в меню about:config, если ввести в поиск «fission» и переключить пункт fission.autostart. На данный момент изоляция сайтов в Firefox не предназначена для ежедневного использования — возможны утечки памяти и другие ошибки.

При добавлении такой изоляции сайтов в Chrome компания Google заметила, что её браузер увеличит потребление оперативной памяти примерно на 20 %.