Организация Mozilla выпустила обновления безопасности для поддерживаемых версий браузера Firefox и почтового клиента Thunderbird с исправлениями критической проблемы безопасности WebP, эксплуатируемой в реальных атаках.
Продукты Mozilla оказались затронуты той же критической уязвимостью, что и Chrome и браузеры на Chromium. Google выпустил обновление безопасности для своего браузера в один день с Mozilla.
Пользователям Firefox рекомендуется обновить браузер как можно скорее, потому что формат изображений WebP очень распространен в Интернете. Организация сообщает, что открытие вредоносного изображения WebP может «привести к переполнению буфера в процессе работы с контентом», и как следствие, к выполнению вредоносного кода.
Обновление Firefox 117.0.1 будет автоматически установлено с помощью встроенной функции обновления браузера. Пользователи Firefox могут перейти в Меню > Справка > О Firefox для ручной проверки доступности обновлений. Браузер скачает новую версию и сразу установит ее. Пользователи Thunderbird могут перейти в Справка > О Thunderbird. Thunderbird проверит обновления и установит доступные пакеты.
Firefox 117.0.1 включает не только обновления безопасности, но и исправления ряда проблем. В выпуске исправлены две ошибки, влияющие на открытие ссылок. Первая приводила к тому, что опция Снова открыть все вкладки в меню недавно закрытых вкладок иногда не открывала все вкладки. Вторая проблема заключалась в том, что ссылки, активированные вне Firefox на macOS, иногда не открывались в Firefox.
Еще одно исправление касается браузерных дополнений. Иногда расширения завершали работу, оставаясь запущенными. Это могло произойти, когда расширения использовали «страницу событий для долго выполняющихся задач».
Mozilla отменила изменение, которое не позволяет javascript изменять протокол URL. Оно будет внедрено позднее.
Также устранены проблемы видимости меню закладок, проблемы определения часового пояса на некоторых сайтах, а также проблемы неработоспособности звуковых вкладок на сайтах, использующих обработку исключений WebAssembly.
Полный список изменений и бюллетень безопасности доступны на сайте Mozilla.
Остальные браузеры, поддерживающие WebP, также затронуты данной уязвимостью. Обновления безопасности для них должны выйти в ближайшее время.
Источник новости: www.playground.ru
