标签: Firefox

Firefox 被曝安全漏洞:显示虚假通知锁定浏览器使用

Mac和Windows平台的Firefox浏览器近日成为了部分恶意网站攻击的目标,这些网站会显示虚假的警告通知并完全锁定浏览器。黑客利用Firefox中的一个BUG来篡改该浏览器,从而在无需用户交互的情况下达到目的。目前Mozilla并未公布解决方案,不过该问题已经造成严重破坏并给用户带来困扰。 这个BUG是由Malwarebytes的Jérôme Segura向Mozilla报告的,他警告称通过特制的JavaScript能够利用这个漏洞。黑客可以伪装成技术支持网站,警告用户当前正在使用盗版的Windows系统。 如Ars Technica所报告,警告消息为: 请停止并且不要关闭PC。您的计算机的注册表项已锁定。为什么我们阻止您的计算机? Windows注册表项是非法的。 Windows桌面正在使用盗版软件。 Window桌面通过Internet发送病毒。该Windows桌面已被黑客入侵。为了您的安全,我们封锁了这台计算机。 该网站说明: 关闭窗口的唯一方法是使用Windows任务管理器或macOS中的“强制关闭”功能强制关闭整个浏览器。即使那样,Firefox也会重新打开以前打开的选项卡,导致无休止的循环。要解决此问题,用户必须强制关闭Firefox,然后在重新启动Firefox后在加载之前立即关闭虚假网站的选项卡。 Mozilla表示目前正在调查和制作修复补丁,不过目前没有准确的发布时间。   (稿源:cnBeta,封面源自网络。)

Mozilla 表示美国 ISP 向国会撒谎 散布有关 DNS 加密的不实信息

Mozilla今天在写给美国众议院委员会主席和高级成员的信中表示,互联网提供商反对浏览器DNS加密这一隐私功能,这些提供商的行为让外界质疑它们如何使用客户网络浏览数据。Mozilla还表示,互联网提供商一直在向立法者提供不准确的信息,并敦促国会公开调查当前ISP数据收集和使用政策。 基于HTTPS的DNS有助于防止窥视者看到用户浏览器正在进行的DNS查找。这会使ISP或其他第三方更加难以监控用户访问的网站。Mozilla信任与安全机构高级总监Marshall Erwin表示,毫无疑问,我们在DoH [基于HTTPS的DNS]上的工作促使ISP发起了一场运动,以阻止所有这些隐私和安全保护功能实施。 宽带行业声称,谷歌计划自动将Chrome用户切换到自己的DNS服务,但是Google公开宣布的计划是检查用户当前的DNS提供商是否在兼容DoH提供商列表中,如果用户选择的DNS服务不在该列表中,则Chrome不会对该用户进行任何更改。 而Mozilla实际上计划在默认情况下将Firefox用户切换到其他DNS提供商,特别是Cloudflare的加密DNS服务。但是,由于Firefox的市场份额较小,因此与Chrome相比,ISP显然不太关心Firefox。 Mozilla在致国会的信中说,ISP对加密DNS进行游说相当于电信协会明确主张ISP必须有能力收集用户数据并从中获利。目前,美国ISP对用户数据滥用包括在未经用户了解或未获得有效同意的情况下,向第三方出售实时位置数据,诸如Comcast之类的ISP、操纵DNS为消费者提供广告,Verizon使用超级Cookie来跟踪用户的Internet活动,AT&T每月向客户收取29美元的额外费用,以避免AT&T收集用户浏览历史记录并且从中获利。   (稿源:cnBeta,封面源自网络。)

Firefox 最安全?唯一通过德国联邦信息安全局考核的浏览器

在近期德国网络安全机构“德国联邦信息安全局(BSI)”针对几大 Web 浏览器进行的审查中,Firefox 在安全性上获得了最高分,并且是唯一通过所有强制性安全功能最低要求的浏览器。 不过前提是 BSI 只对 Mozilla Firefox 68(ESR)、Google Chrome 76、Microsoft Internet Explorer 11 和 Microsoft Edge 44 进行了测试,并不包括 Safari、Brave、Opera 与 Vivaldi 等浏览器。 此次测试是使用 BSI 于 2019 年 9 月发布的“现代安全浏览器”指南中详述的规则进行的。BSI 通常根据该指南就可以安全使用哪些浏览器向政府机构和私营公司提供建议。此次指南更新完善了现代浏览器新增和改进的安全措施与机制,例如 HSTS、SRI、CSP 2.0、遥测处理和改进的证书处理机制。 根据 BSI 的新指南,被认为安全的现代 Web 浏览器必须满足以下最低要求: 必须支持 TLS 必须具有受信任证书的列表 必须支持扩展验证(EV)证书 必须根据证书吊销列表(CRL)或在线证书状态协议(OCSP)验证加载的证书 浏览器必须使用图标或颜色高亮来显示通信何时加密到远程服务器或采用明文形式 仅在经过特定用户的批准后,才允许连接到使用过期证书运行的远程网站 必须支持 HTTP Strict Transport Security (HSTS) (RFC 6797) 必须支持 Same Origin Policy (SOP) 必须支持 Content Security Policy (CSP) 2.0 必须支持子资源完整性(SRI) 必须支持自动更新 必须为关键的浏览器组件和扩展支持单独的更新机制 必须对浏览器更新进行签名和验证 浏览器的密码管理器必须以加密形式存储密码 必须仅在用户输入主密码之后允许访问浏览器的内置密码库 用户必须能够从浏览器的密码管理器中删除密码 用户必须能够阻止或删除 cookie 文件 用户必须能够阻止或删除自动完成历史记录 用户必须能够阻止或删除浏览历史记录 组织管理员必须能够配置或阻止浏览器发送遥测/使用数据 浏览器必须支持一种机制来检查有害内容/URL 浏览器应允许组织运行本地存储的 URL 黑名单 必须支持一些设置,用户可以在其中启用/禁用插件、扩展或脚本 浏览器必须能够导入集中创建的配置设置,非常适合大规模企业部署 必须允许管理员禁用基于云的配置文件同步功能 必须在初始化后以最小的操作系统权限运行在操作系统中 必须支持沙箱 所有浏览器组件必须彼此隔离,并且与操作系统隔离。隔离组件之间的通信只能通过定义的接口进行,不能直接访问隔离组件的资源 网页需要彼此隔离,最好以独立进程的形式,还要允许线程级隔离 必须使用支持堆栈和堆内存保护的编程语言对浏览器进行编码 浏览器供应商必须在公开披露安全漏洞后不超过 21 天提供安全更新。如果主浏览器供应商未能提供安全更新,则组织必须移至新的浏览器 浏览器必须使用 OS 内存保护,例如地址空间布局随机化(ASLR)或数据执行保护(DEP) 组织管理员必须能够管理或阻止未经批准的附件/扩展的安装 根据 BSI 的说法,Firefox 是唯一支持以上所有要求的浏览器,其它浏览器测试不通过的原因包括: 缺少对主密码机制的支持(Chrome、IE、Edge) 没有内置的更新机制(IE) 没有阻止遥测收集的选项(Chrome、IE、Edge) 不支持 SOP(IE) 不支持 CSP(IE) 不支持 SRI(IE) 不支持浏览器配置文件/不同的配置(IE、Edge) 缺乏组织透明度(Chrome、IE、Edge)   (稿源:开源中国,封面源自网络。)

俄罗斯黑客修改 Chrome 和 Firefox 浏览器安装程序以追踪用户

浏览器制造商正在实施一些功能,如HTTPS和TLS加密,以防止站点通过各种技术来跟踪用户。但是,世界各地黑客喜欢与安全专家和软件开发人员一起玩猫捉老鼠的游戏。来自俄罗斯一个特别臭名昭著的团体将计就计,他们在用户安装Web浏览器同时,即时修改这些Web浏览器,为加密流量添加所谓“指纹”功能,以实时跟踪用户和其使用的电脑。 卡巴斯基实验室(Kaspersky Labs)对这种秘密攻击的调查报告显示,黑客设法找到了一种修改Web浏览器的方法,从而使被设计为安全且私有的TLS流量将带有唯一的指纹,以识别用户及其使用的电脑。 这些黑客能够做到这一点的方法几乎令人恐惧。黑客修补了Google Chrome和Mozilla Firefox的安装程序,让浏览器运行时包括该特殊的指纹功能。卡巴斯基无法确定黑客如何以及何时进行修改,但是黑客可能会在用户从合法来源下载安装程序时立即进行修改。 对于某些黑客来说,这是一个相当高的技术要求,因为这意味着黑客需要黑入Internet服务提供商和其网络。但是,对于一个名为Tulsa的黑客组织而言,这可能并不那么困难。Tulsa组织因与俄罗斯政府有联系而闻名,并参与了几起针对ISP的黑客事件。奇怪的是,这种被称为Reductor的恶意软件并未真正用于解密用户的加密流量,因此,这可能是一种隐蔽地跟踪用户网络活动的方法。     (稿源:cnBeta,封面源自网络。)

Firefox 曝出严重安全漏洞,建议所有用户尽快更新

Mozilla 发布了 Firefox 67.0.3 和 Firefox ESR 60.7.1 版本,用于紧急修复最新发现的 0day 漏洞。 安全公告中的完整描述如下: 由于 Array.pop 中的问题,操作 JavaScript 对象时可能会出现类型混淆漏洞。这可能导致可利用的崩溃。我们意识到已经有针对性的攻击滥用这个漏洞。 也就是说,该漏洞能够让黑客操纵 JavaScript 代码诱骗用户访问,并将恶意代码部署到他们的 PC 上。 该漏洞由 Google Project Zero 安全研究团队的 Samuel Groß 发现并报告,编号 CVE-2019-11707,安全等级为“严重”。甚至美国网络安全和基础设施安全局也已经参与传播有关补丁的信息。 有报道称可能有黑客利用这个漏洞进行攻击,获取加密货币。但除了 Mozilla 网站上发布的简短描述之外,没有关于此安全漏洞或持续攻击的其他详细信息。 以注重安全和隐私著称的 Firefox 出现 0day 漏洞是非常罕见的,Mozilla 团队最后一次修补 Firefox 0day 还是在 2016 年 12 月。 目前, Mozilla 安全委员会提醒所有 Firefox 用户尽快升级到最新版本,以避免遭受攻击。   (稿源:开源中国,封面源自网络。)

Mozilla Firefox 开始默认阻止网络跟踪器运作

Firefox 现在将默认阻止数千个网络跟踪器,保护用户免受网站、分析公司和广告商跟踪攻击。这一变化应该加快浏览器的速度并使用户的网络习惯更加私密,同时减少广告商的推向入侵。但 Mozilla 并没有像苹果公司在几年前为Safari 添加类似功能时采取的做法,苹果浏览器默认阻止几乎所有第三方跟踪器,而不仅仅是在黑名单中收集的已知跟踪器。 苹果的方法进一步保护用户隐私,但也可能意味着用户更加头痛。通过积极阻止 Cookie,苹果浏览器可能会破坏某些网站的用户体验。   Mozilla 试图通过仅阻止已知的跟踪器而不是所有 cookie,一位发言人表示,该公司发现阻止所有 cookie 导致一些网站可能无法正常运行。任何想要更多保护的用户都可以进入 Firefox 的设置并进行更改跟踪阻止设置从默认的“标准”选项 到“严格”选项。 从今天开始,默认情况下,所有新 Firefox 用户都将启用跟踪器阻止功能,并且它将成为未来几个月内已经使用 Firefox 用户的默认设置。虽然 Firefox 在阻止跟踪器方面并不是领先者,但它仍然领先于谷歌的 Chrome 浏览器,而谷歌的浏览器刚刚开始涉足限制跟踪的功能。     (稿源:cnBeta,封面源自网络。)

Firefox 将会增加对网站指纹和加密货币挖矿脚本的保护

秉承着对保护用户隐私的承诺,Mozilla近日宣布将会为Firefox浏览器引入几种新方式。正如此前在Bugzilla追踪器中BUG报告中所暗示的,Firefox将会增加对网站指纹和加密货币挖矿脚本的保护。 Mozilla在官方博文中解释道:网站通过指纹脚本可以收集每位访客的硬件相关数据,这样即使用户清除了cookies也能在网络上追踪用户。这些信息包括处理器、内存容量等信息,在苹果去年发布的macOS 10.14 Mojave中就引入了自己的方式来对抗各种数据收集。 而对于加密货币挖矿脚本,这在当前的互联网上的威胁已经越来越大。该脚本可以让你的计算机在后台进行挖矿作业,为其他人挖掘加密货币。这可能会耗尽系统资源并影响系统性能。 为了解决这两个问题,Mozilla与Disconnect合作创建了黑名单,罗列了使用该脚本的域名站点,用户可以选择阻止其中一项或者完全阻止。目前该功能已经出现在Nightly通道的68版本和Beta通道的67版本中,目前默认情况下处于禁用状态,一旦通过测试提高可靠性和稳定性将会默认启用。     (稿源:cnBeta,封面源自网络。)

Firefox 新增预警功能,自动提醒用户网站有过数据泄露

Mozilla 近日宣布 Firefox Quantum 浏览器新增了一项新的安全功能,在用户访问以前存在数据泄露的网站时会自动显示来自 Firefox Monitor 的警告。 该功能旨在提醒用户可能存在的问题,并建议他们检查自己的电子邮件,看看是否有遭到泄露。 当出现警报时,用户可单击 Check Firefox Monitor 按钮转到 Firefox Monitor 站点,或单击 Dismiss 按钮关闭警报,也可以单击向下箭头选择 “never show Firefox Monitor alerts ” 以禁用此功能。 根据 Mozilla 的说法,该预警功能并非侵入性的,每个站点最多只出现一次,而且仅针对过去12个月内有出现过数据泄露事件的网站。 Firefox Monitor 是一项免费的隐私数据泄露通知服务。要使用它,只需访问 Firefox Monitor 网站并提交电子邮件地址即可。它通过和 “Have I Been Pwned” 中超过31亿个已确认出现安全问题的庞大数据库进行比对,在发现问题时及时提醒用户。   稿源:开源中国,封面源自网络;

未来 Firefox 将引入安全审查工具:确认个人账号是否已被泄露

Mozilla今天宣布未来Firefox版本将引入一项令人兴奋的功能。这项功能就是建议安全审查工具,使用Troy Hunt的“Have I Been Pwned”(HIBP)数据库对已知泄露的数据库进行扫描,确认用户账号是否出现在其中。 去年11月份,该功能的初版首次曝光。Mozilla表示通过免费访问的数据泄露API来访问HIBP,一旦在该中发现账号那么就会自动向用户发出提醒。该功能当时只是一个通知系统,当用户访问恶意已经被窃取的时候才会发出提醒。 而现在Mozilla正将HIBP的完整服务整合到辅助网站– Firefox Monitor上。双方的合作允许用户通过输入邮箱地址来查看自己的账号是否已经在已知的数据泄露中曝光。如果出现在数据库中,那么 Firefox Monitor就会知道已经掌握的暴露程度,并提供相关建议。 目前该系统还处于规划和测试阶段。Mozilla正和HIBP和Cloudflare公司合作,创建一种匿名数据共享的方法以确保每个用户的隐私得到妥善的保护。 Firefox Monitor预计将于下周开始率先在美国地区开放,首批大约为25万用户。如果取得成功,将会进一步向所有Firefox用户开放。   稿源:cnBeta,封面源自网络;

黑客渗透热门软件下载网站 MacUpdate 分发 Mac 加密货币矿工

外媒 2 月 6 日报道,网络安全公司 SentinelOne 的安全研究员发现,黑客利用热门的软件下载网站 MacUpdate 向 Mac 用户分发一个名为 OSX.CreativeUpdate 的加密货币挖掘矿工,其主要目的是通过劫持用户设备的 CPU,秘密窃取门罗币 。 据研究人员介绍,MacUpdate 网站提供的软件官方下载链接遭到黑客替换,从而导致用户设备受到感染。除此之外,这些假冒链接的域名还做了细微改变,使其看起来合法且令人信服。一旦用户下载安装,合法网站 public.adobecc.com 会被迫使安装一个有效负载,并试图打开原始应用程序的副本作为诱饵来触发恶意软件激活。 目前通过调查发现 Firefox、OnyX 和 Deeper 等应用被黑客替换了下载链接。研究人员认为黑客选择这三个应用程序的原因在于它们都是由 Platypus 开发的。因为 Platypus 开发工具可以从各种脚本(如 shell 或 Python 脚本)中生成完整的 macOS 应用程序,这意味着创建应用程序的门槛并不是很高。 据悉,MacUpdate 方面已针对该事件向用户表示了歉意,并就如何删除恶意软件提供了相关说明。 1、删除 可能已安装的上述应用[ Firefox、Onyx、Deeper ]的任何副本。 2、下载并安装应用的新副本。 3、在 Finder 中,打开主目录的窗口( Cmd-Shift-H )。 4、如果 Library 文件夹没有显示,按住 Option / Alt 键,点击“ Go ” 菜单,选择 “ Library(Cmd-Shift-L)”。 5、向下滚动找到 “ mdworker ” 文件夹(〜/ Library / mdworker /)。 6、删除整个文件夹。 7、向下滚动找到 “ LaunchAgents ” 文件夹(〜/ Library / LaunchAgents /)。 8、从该文件夹删除 “ MacOS.plist ” 和 “ MacOSupdate.plist ”(〜/ Library / LaunchAgents / MacOS.plist 和 〜/ Library / LaunchAgents / MacOSupdate.plist)。 9、清空垃圾。 10、重新启动系统。 MacUpdate  负责人建议用户在下载软件之前检查其是否合法,不要完全相信第三方网站或 Mac App Store 上的星级或评论,因为这些内容可能是伪造的。 消息来源:IBTimes,翻译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。