Mozilla Ρ€Π°ΡΡˆΠΈΡ€ΡΠ΅Ρ‚ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡƒ Π²Ρ‹ΠΏΠ»Π°Ρ‚Ρ‹ Π²ΠΎΠ·Π½Π°Π³Ρ€Π°ΠΆΠ΄Π΅Π½ΠΈΠΉ Π·Π° выявлСниС уязвимостСй

Компания Mozilla объявила ΠΎ Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΠΈ ΠΈΠ½ΠΈΡ†ΠΈΠ°Ρ‚ΠΈΠ²Ρ‹ ΠΏΠΎ Π²Ρ‹ΠΏΠ»Π°Ρ‚Π΅ Π΄Π΅Π½Π΅ΠΆΠ½Ρ‹Ρ… Π²ΠΎΠ·Π½Π°Π³Ρ€Π°ΠΆΠ΄Π΅Π½ΠΈΠΉ Π·Π° выявлСниС ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ Π² элСмСнтах инфраструктуры, связанных с Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΎΠΉ Firefox. Π Π°Π·ΠΌΠ΅Ρ€ ΠΏΡ€Π΅ΠΌΠΈΠΉ Π·Π° выявлСниС уязвимостСй Π½Π° сайтах ΠΈ Π² сСрвисах Mozilla ΡƒΠ²Π΅Π»ΠΈΡ‡Π΅Π½ Π² Π΄Π²Π° Ρ€Π°Π·Π°, Π° прСмия Π·Π° выявлСниС уязвимостСй, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³ΡƒΡ‚ привСсти ΠΊ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΡŽ ΠΊΠΎΠ΄Π° Π½Π° ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹Ρ… сайтах, Π΄ΠΎΠ²Π΅Π΄Π΅Π½Π° Π΄ΠΎ 15 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ².

Π—Π° ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΈΠ΅ ΠΌΠ΅Ρ‚ΠΎΠ΄Π° ΠΎΠ±Ρ…ΠΎΠ΄Π° Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΈ подстановку SQL-ΠΊΠΎΠ΄Π° ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ Π²ΠΎΠ·Π½Π°Π³Ρ€Π°ΠΆΠ΄Π΅Π½ΠΈΠ΅ Π² 6 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ², Π° Π·Π° мСТсайтовый скриптинг ΠΈ CSRF — 5 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ². К ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹ΠΌ сайтам отнСсСны firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org
ΠΈ Π΅Ρ‰Ρ‘ нСсколько дСсятков сайтов, связанных с дополнСниями, обновлСниями, Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΎΠΉ, синхронизациСй ΠΈ статистикой.

Для Π±Π°Π·ΠΎΠ²Ρ‹Ρ… сайтов Ρ€Π°Π·ΠΌΠ΅Ρ€ ΠΏΡ€Π΅ΠΌΠΈΠΈ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π½ΠΎ Π² Π΄Π²Π° Ρ€Π°Π·Π° мСньшС. К Π±Π°Π·ΠΎΠ²Ρ‹ΠΌ сайтам отнСсСны observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org ΠΈ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΠΈΠ΅ сСрвисы для Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ².

По ΡΡ€Π°Π²Π½Π΅Π½ΠΈΡŽ с Ρ€Π°Π½Π΅Π΅ Π΄Π΅ΠΉΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠΌΠΈ условиями, Π² число ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹Ρ… сайтов ΠΈ сСрвисов Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Ρ‹:

  • Autograph (сСрвис Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… подписСй),
  • Lando (сСрвис автоматичСского размСщСния ΠΊΠΎΠ΄Π° ΠΈΠ·
    Phabricator Π² рСпозиториях),

  • Phabricator (инструмСнтарий управлСния ΠΊΠΎΠ΄ΠΎΠΌ, примСняСмый для рСцСнзирования ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ),
  • Taskcluster (Ρ„Ρ€Π΅ΠΉΠΌΠ²ΠΎΡ€ΠΊ для выполнСния Π·Π°Π΄Π°Ρ‡, ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°ΡŽΡ‰ΠΈΠΉ систСму Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½ΠΎΠΉ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ ΠΈ процСссы формирования Ρ€Π΅Π»ΠΈΠ·ΠΎΠ²).

Из Π½ΠΎΠ²Ρ‹Ρ… Π±Π°Π·ΠΎΠ²Ρ‹Ρ… сайтов ΠΎΡ‚ΠΌΠ΅Ρ‡Π΅Π½Ρ‹:

Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ Π½Π°ΠΌΠ΅Ρ€Π΅Π½ΠΈΠ΅ Π°ΠΊΡ‚ΠΈΠ²ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π² Π½Π°ΠΌΠ΅Ρ‡Π΅Π½Π½ΠΎΠΌ Π½Π° 7 января Ρ€Π΅Π»ΠΈΠ·Π΅ Firefox 72 ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ Π±ΠΎΡ€ΡŒΠ±Ρ‹ с Π½Π°Π·ΠΎΠΉΠ»ΠΈΠ²Ρ‹ΠΌΠΈ запросами Π½Π° прСдоставлСниС сайту Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΏΠΎΠ»Π½ΠΎΠΌΠΎΡ‡ΠΈΠΉ. МногиС сайты Π·Π»ΠΎΡƒΠΏΠΎΡ‚Ρ€Π΅Π±Π»ΡΡŽΡ‚ прСдоставляСмой Π² Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π°Ρ… Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒΡŽ запроса ΠΏΠΎΠ»Π½ΠΎΠΌΠΎΡ‡ΠΈΠΉ, Π³Π»Π°Π²Π½Ρ‹ΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ ΠΏΡƒΡ‚Ρ‘ΠΌ пСриодичСского Π²Ρ‹Π²ΠΎΠ΄Π° запросов Π½Π° ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ push-ΡƒΠ²Π΅Π΄ΠΎΠΌΠ»Π΅Π½ΠΈΠΉ. Анализ Ρ‚Π΅Π»Π΅ΠΌΠ΅Ρ‚Ρ€ΠΈΠΈ ΠΏΠΎΠΊΠ°Π·Π°Π», Ρ‡Ρ‚ΠΎ 97% ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹Ρ… запросов ΠΎΡ‚ΠΊΠ»ΠΎΠ½ΡΡŽΡ‚ΡΡ, Π² Ρ‚ΠΎΠΌ числС Π² 19% случаях ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ сразу Π·Π°ΠΊΡ€Ρ‹Π²Π°Π΅Ρ‚ страницу Π½Π΅ наТимая ΠΊΠ½ΠΎΠΏΠΊΡƒ согласия ΠΈΠ»ΠΈ отклонСния. Π’ Firefox 72 ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹Π΅ запросы Π±ΡƒΠ΄ΡƒΡ‚ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒΡΡ, Ссли Π½Π΅ зафиксировано взаимодСйствиС ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ со страницСй (ΠΊΠ»ΠΈΠΊ ΠΌΡ‹ΡˆΡŒΡŽ ΠΈΠ»ΠΈ Π½Π°ΠΆΠ°Ρ‚ΠΈΠ΅ клавиш).

Из грядущих ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ Π² Firefox 72 Ρ‚Π°ΠΊΠΆΠ΅ выдСляСтся использованиС Ρ†Π²Π΅Ρ‚Π° Ρ„ΠΎΠ½Π° Ρ‚Π΅ΠΊΡƒΡ‰Π΅ΠΉ страницы для полосы ΠΏΡ€ΠΎΠΊΡ€ΡƒΡ‚ΠΊΠΈ ΠΈ ΡƒΠ΄Π°Π»Π΅Π½ΠΈΠ΅ возмоТности привязки ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Ρ… ΠΊΠ»ΡŽΡ‡Π΅ΠΉ (PKP, Public Key Pinning), ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π΅ΠΉ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ HTTP-Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠ° Public-Key-Pins явно ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒ сСртификаты ΠΊΠ°ΠΊΠΈΡ… ΡƒΠ΄ΠΎΡΡ‚ΠΎΠ²Π΅Ρ€ΡΡŽΡ‰ΠΈΡ… Ρ†Π΅Π½Ρ‚Ρ€ΠΎΠ² допустимо ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ для Π·Π°Π΄Π°Π½Π½ΠΎΠ³ΠΎ сайта. Π’ качСствС ΠΏΡ€ΠΈΡ‡ΠΈΠ½Ρ‹ называСтся низкая Π²ΠΎΡΡ‚Ρ€Π΅Π±ΠΎΠ²Π°Π½Π½ΠΎΡΡ‚ΡŒ Π΄Π°Π½Π½ΠΎΠΉ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ, риск ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ с ΡΠΎΠ²ΠΌΠ΅ΡΡ‚ΠΈΠΌΠΎΡΡ‚ΡŒΡŽ (ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° PKP ΠΏΡ€Π΅ΠΊΡ€Π°Ρ‰Π΅Π½Π° Π² Chrome) ΠΈ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ собствСнный сайт ΠΈΠ·-Π·Π° привязки Π½Π΅ Ρ‚Π΅Ρ… ΠΊΠ»ΡŽΡ‡Π΅ΠΉ ΠΈΠ»ΠΈ ΡƒΡ‚Π΅Ρ€ΠΈ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, случайноС ΡƒΠ΄Π°Π»Π΅Π½ΠΈΠ΅ ΠΈΠ»ΠΈ компромСтация Π² Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ Π²Π·Π»ΠΎΠΌΠ°).

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru