Команда проекту Tor випустила оновлення під номером 8.5.2, що виправляє критичну уразливість, що зачіпає браузер Firefox в складі Tor.
Йдеться про уразливість віддаленого виконання коду (CVE-2019-11707) в Firefox, яку вже експлуатують зловмисники. Інженери Mozilla виправили проблему з випуском оновлень Firefox 67.0.3 і Firefox ESR 60.7.1.
Ця проблема не зачіпає користувачів із встановленими рівнями безпеки “Більш безпечні” (Safer) і “Найбільш безпечні” (Safest).
Крім іншого, розробники Tor оновили плагін NoScript (він дозволяє контролювати і повністю блокувати виконання JavaScript і інших сценаріїв на окремих сторінках). У новій версії виправлена низка помилок, у тому числі проблема, через яку механізм захисту від XSS-атак призводить до зависання браузера.
Оновлення версії Tor для Android буде доступно трохи пізніше – розробники обіцяють випустити оновлення в найближчі вихідні. А поки в якості захисного заходу команда рекомендує користувачам встановити налаштування безпеки на рівні “Більш безпечні” або “Найбільш безпечні”.
Окрім цього, компанія ESET виявила шкідливе ПЗ для Android, здатне обходити механізм двофакторної аутентифікації без доступу до SMS-повідомлень.
До речі, додатки для Android з критично небезпечними уразливостями зустрічаються дещо частіше, ніж програми для iOS (43% проти 38%). Однак ця різниця несуттєва, вважають експерти, і загальний рівень захищеності клієнтських частин мобільних додатків для обох платформ приблизно однаковий.
Нагадаємо, в офіційному магазині додатків для Windows фахівці виявили безліч платних додатків, які насправді є продуктами з відкритим вихідним кодом, які можна поширювати тільки безкоштовно.
Також дослідники попереджають про реєстрацію реальних атак з експлуатації уразливості нульового дня у браузері Mozilla Firefox. Користувачі повинні якомога швидше оновитися до версії 67.0.3 або 60.7.1.