标签: Firefox 浏览器

Firefox 被曝安全漏洞:显示虚假通知锁定浏览器使用

Mac和Windows平台的Firefox浏览器近日成为了部分恶意网站攻击的目标,这些网站会显示虚假的警告通知并完全锁定浏览器。黑客利用Firefox中的一个BUG来篡改该浏览器,从而在无需用户交互的情况下达到目的。目前Mozilla并未公布解决方案,不过该问题已经造成严重破坏并给用户带来困扰。 这个BUG是由Malwarebytes的Jérôme Segura向Mozilla报告的,他警告称通过特制的JavaScript能够利用这个漏洞。黑客可以伪装成技术支持网站,警告用户当前正在使用盗版的Windows系统。 如Ars Technica所报告,警告消息为: 请停止并且不要关闭PC。您的计算机的注册表项已锁定。为什么我们阻止您的计算机? Windows注册表项是非法的。 Windows桌面正在使用盗版软件。 Window桌面通过Internet发送病毒。该Windows桌面已被黑客入侵。为了您的安全,我们封锁了这台计算机。 该网站说明: 关闭窗口的唯一方法是使用Windows任务管理器或macOS中的“强制关闭”功能强制关闭整个浏览器。即使那样,Firefox也会重新打开以前打开的选项卡,导致无休止的循环。要解决此问题,用户必须强制关闭Firefox,然后在重新启动Firefox后在加载之前立即关闭虚假网站的选项卡。 Mozilla表示目前正在调查和制作修复补丁,不过目前没有准确的发布时间。   (稿源:cnBeta,封面源自网络。)

Firefox 最安全?唯一通过德国联邦信息安全局考核的浏览器

在近期德国网络安全机构“德国联邦信息安全局(BSI)”针对几大 Web 浏览器进行的审查中,Firefox 在安全性上获得了最高分,并且是唯一通过所有强制性安全功能最低要求的浏览器。 不过前提是 BSI 只对 Mozilla Firefox 68(ESR)、Google Chrome 76、Microsoft Internet Explorer 11 和 Microsoft Edge 44 进行了测试,并不包括 Safari、Brave、Opera 与 Vivaldi 等浏览器。 此次测试是使用 BSI 于 2019 年 9 月发布的“现代安全浏览器”指南中详述的规则进行的。BSI 通常根据该指南就可以安全使用哪些浏览器向政府机构和私营公司提供建议。此次指南更新完善了现代浏览器新增和改进的安全措施与机制,例如 HSTS、SRI、CSP 2.0、遥测处理和改进的证书处理机制。 根据 BSI 的新指南,被认为安全的现代 Web 浏览器必须满足以下最低要求: 必须支持 TLS 必须具有受信任证书的列表 必须支持扩展验证(EV)证书 必须根据证书吊销列表(CRL)或在线证书状态协议(OCSP)验证加载的证书 浏览器必须使用图标或颜色高亮来显示通信何时加密到远程服务器或采用明文形式 仅在经过特定用户的批准后,才允许连接到使用过期证书运行的远程网站 必须支持 HTTP Strict Transport Security (HSTS) (RFC 6797) 必须支持 Same Origin Policy (SOP) 必须支持 Content Security Policy (CSP) 2.0 必须支持子资源完整性(SRI) 必须支持自动更新 必须为关键的浏览器组件和扩展支持单独的更新机制 必须对浏览器更新进行签名和验证 浏览器的密码管理器必须以加密形式存储密码 必须仅在用户输入主密码之后允许访问浏览器的内置密码库 用户必须能够从浏览器的密码管理器中删除密码 用户必须能够阻止或删除 cookie 文件 用户必须能够阻止或删除自动完成历史记录 用户必须能够阻止或删除浏览历史记录 组织管理员必须能够配置或阻止浏览器发送遥测/使用数据 浏览器必须支持一种机制来检查有害内容/URL 浏览器应允许组织运行本地存储的 URL 黑名单 必须支持一些设置,用户可以在其中启用/禁用插件、扩展或脚本 浏览器必须能够导入集中创建的配置设置,非常适合大规模企业部署 必须允许管理员禁用基于云的配置文件同步功能 必须在初始化后以最小的操作系统权限运行在操作系统中 必须支持沙箱 所有浏览器组件必须彼此隔离,并且与操作系统隔离。隔离组件之间的通信只能通过定义的接口进行,不能直接访问隔离组件的资源 网页需要彼此隔离,最好以独立进程的形式,还要允许线程级隔离 必须使用支持堆栈和堆内存保护的编程语言对浏览器进行编码 浏览器供应商必须在公开披露安全漏洞后不超过 21 天提供安全更新。如果主浏览器供应商未能提供安全更新,则组织必须移至新的浏览器 浏览器必须使用 OS 内存保护,例如地址空间布局随机化(ASLR)或数据执行保护(DEP) 组织管理员必须能够管理或阻止未经批准的附件/扩展的安装 根据 BSI 的说法,Firefox 是唯一支持以上所有要求的浏览器,其它浏览器测试不通过的原因包括: 缺少对主密码机制的支持(Chrome、IE、Edge) 没有内置的更新机制(IE) 没有阻止遥测收集的选项(Chrome、IE、Edge) 不支持 SOP(IE) 不支持 CSP(IE) 不支持 SRI(IE) 不支持浏览器配置文件/不同的配置(IE、Edge) 缺乏组织透明度(Chrome、IE、Edge)   (稿源:开源中国,封面源自网络。)

Mozilla Firefox 59 将启用对分布式网络架构协议的支持

为了帮助实现更加开放、让每个人都能轻松访问到的分布式互联网技术, Mozilla 于去年与美国国家科学基金会携手提供了 200 万美元的奖金。现在,这个项目似乎已经取得了积极的成果。Mozilla 刚刚宣布,自 Firefox 59 开始,用户将能够通过扩展来启用 “分布式互联网协议”。Firefox 59 的正式版定于 2018 年 3 月份推出,其中包含了对一些新批准的协议的支持,比如 Dat Project、IPFS、以及 Secure Scuttlebutt 。 此举意味着 Mozilla 在积极为当前占主导地位的 “ 客户端-服务器 ” 模型(CS Model)寻找替代方案。 需要指出的是,协议实施的重担并没有落在 Mozilla 身上,只是 Firefox 浏览器会将其认定为合法的而已。此外,这些扩展可以自由地提供各自的实现方式。 由博客文章可知,Mozilla 坚信这会是“ 一个健康的互联网的关键组成部分 ”。 2017 年 6 月的时候,作为 200 万美元的分布式互联网奖金的一部分,Mozilla 收集开发了一票面向网络访问不可靠社区的无线解决方案。 作为 Mozilla 推动创新的最新举措,这家非盈利组织最近还捐赠了 27.5 万美元,用于支持教育技术项目。 Dat Project、IPFS、Secure Scuttlebutt 旨在通过支持对等网络的文件传输和 Web 浏览功能,以改善互联网基础设施,而这当前是基于 “ 客户端-服务器 ” 的 Web 所提供的功能。 这些协议与现有模型的区别,主要体现在改进了隐私和安全性,以及对网络中立性的支持。 除了这些特性,即将推出的 Firefox 59 还提供了一个应用程序接口(API),能够隐藏界面上未使用的标签页,并改进了网络请求(webRequest)API 。 当然,得益于一套双层 WebAssembly 编译器,最近发布的 Firefox 58 已经带来了显著的速度提升。 稿源:cnBeta,封面源自网络;

LastPass 存在漏洞允许攻击者窃取密码

近期,Google 安全专家 Tavis Ormandy 在 Chrome 和 Firefox 浏览器中发现 LastPass 密码管理扩展程序存在多个漏洞。目前,LastPass 安全专家已成功修复所有漏洞。 Lastpass 是一个优秀的在线密码管理器和页面过滤器,它采用强大的加密算法,允许自动登录多款浏览器。(百度百科) 2017 年 3 月 16 日,Ormandy 在 Firefox 版本的 LastPass 扩展(版本 3.3.2 )中发现了一个漏洞,但他并没有及时公开披露细节。随后,Ormandy 于3月21日紧接着披露了另一个影响 LastPass 的 Chrome 和 Firefox 版本漏洞并表示该漏洞不仅允许攻击者窃取用户密码,还可以在受害者启用二进制组件时远程调用( RPC )命令执行任意代码。据悉,该漏洞的传播是由于 websiteConnector.js 脚本内容未经代理服务器邮件认证,攻击者可以利用该漏洞访问内部 LastPass RPC 命令。此外,Ormandy 还发现另一个漏洞允许任何域的窃取密码,具体报告将于未来一段时间内公布。 目前,LastPass的安全专家已成功修复所有漏洞并提醒用户及时更新系统,防止数据信息的再次泄露。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接