火狐 145 版本推出全新反指纹追踪防护功能
HackerNews 编译,转载请注明出处: Mozilla(谋智)公司表示,其已研发出 “一套全新、独特且强效的防护机制,可抵御各类实际应用中的指纹追踪技术”,该机制随火狐 145 版本同步上线。此次升级预计能使易被指纹追踪技术定位的用户数量减少一半。 这批全新隐私防护功能将率先面向两类火狐用户开放:一类是已将增强型追踪防护功能设为严格模式的用户,另一类是使用隐私浏览模式(隐私窗口)的用户。后续,Mozilla 计划将该防护机制设为所有用户的默认开启功能。 Mozilla 在公告中称:“火狐是首款对指纹追踪技术具备如此深度洞察的浏览器,其部署的防护措施也是目前减少指纹追踪最为高效的。” 那么此次版本究竟有哪些具体更新?根据官方文档,火狐新版本实现了以下功能: 针对画布指纹追踪技术(这类技术利用不同设备渲染图像的独特方式实现追踪),当网站读取图像数据时,火狐会为生成的图像添加随机噪点;而仅当网站向画布元素渲染数据时,图像则不会被改动。不过对于采用这类追踪技术的网站,用户可能会察觉到图像中存在细微噪点。 火狐浏览器将不再调用设备本地安装的字体渲染网页文本,仅反馈操作系统自带的标准字体信息。 设备支持的同时触控点数将统一显示为 0、1 这两个数值,若实际支持点数为其他数值,则统一显示为 5。 屏幕分辨率与任务栏尺寸将采用标准化反馈方式:可用分辨率统一按屏幕实际分辨率减去 76 像素计算。 处理器核心数的反馈规则为:若设备处理器核心数超过 4 核,统一显示为 8 核;若不超过 4 核,则显示为 4 核。 这些新功能的落地,标志着反指纹追踪防护第二阶段的开发工作正式完成。 Mozilla 表示:“我们的研究显示,这些改进措施能使被识别为‘唯一用户’的比例降低近一半。” 此次推出的反指纹追踪防护功能,是在多年来逐步搭建的多层隐私安全防护体系基础上进一步优化而来。例如,火狐的增强型追踪防护功能长期以来始终会拦截已知的追踪脚本与指纹追踪脚本;此外,浏览器还提供全面 Cookie 隔离功能,并限制网站对用户其他各类信息的获取权限。 目前火狐已能够屏蔽多种主流指纹追踪技术,涵盖显卡图像绘制方式、设备安装的字体类型,甚至设备执行数学运算时存在的细微差异等追踪手段。 但需指出的是,若要完全消除用户指纹信息,几乎必然会破坏网页的正常使用体验。赛博新闻网此前就曾证实,即便禁用所有 Cookie 与追踪程序,用户仍可能被追踪到。 Mozilla 解释道:“看似更严格的指纹追踪拦截机制效果更好,但必然会导致部分正规网站功能失效。比如日程管理、日程安排以及视频会议类工具,都需要获取用户的实时时区信息,这一需求是合理且必要的。” 目前 Mozilla 尚未提及是否会像勇敢浏览器那样,对用户代理信息进行隐藏处理。当前火狐仍会向网站反馈用户的浏览器版本、操作系统等信息,同时还会暴露用户偏好语言、压缩支持情况以及 SSL-JA3 哈希值等数据。 如何开启增强防护功能? 火狐 145 版本用户若想为所有网站开启该防护功能,可按以下步骤操作:进入浏览器设置界面,找到隐私与安全选项,然后自定义设置增强型追踪防护功能,勾选拦截已知及可疑指纹追踪程序的选项即可。 若开启该功能后某个特定网站出现无法正常加载的情况,用户可点击地址栏中的盾牌图标,通过切换按钮临时关闭该网站的增强型追踪防护功能。 此外,隐私浏览模式(打开 “新建隐私窗口”)会默认开启 “已知指纹追踪防护” 与 “可疑指纹追踪防护” 两项功能。详细操作说明可查阅 Mozilla 官方帮助文档。 消息来源:cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Mozilla 证实有人通过火狐浏览器漏洞主动攻击 Tor 浏览器
Mozilla 为其 Firefox 浏览器发布了一个紧急安全更新,以解决一个目前在野外被利用的关键漏洞。该漏洞被追踪为 CVE-2024-9680,CVSS 得分为 9.8,允许攻击者在用户系统上执行任意代码。 图片来源:安全客 “东部时间周二上午 8 点左右,我们收到反病毒公司 ESET 的警告,他们提醒我们在野外发现了一个 Firefox 漏洞。”Mozilla 在一份安全公告中说。“我们要衷心感谢 ESET 与我们分享他们的发现,正是这样的合作让网络对每个人来说都更加安全。” 该漏洞存在于动画时间轴组件中,它是 Firefox Web Animations API 中的一个机制,用于控制和同步网页上的动画。更具体地说,它是一个 “释放后使用”(use-after-free)漏洞,这是一种内存损坏漏洞,当程序释放内存位置后继续使用该位置时就会出现这种漏洞。这样,攻击者就可以注入恶意代码并控制受影响的系统。 Mozilla 解释说:“ESET 发送给我们的样本包含一个完整的漏洞利用链,允许在用户计算机上远程执行代码。在收到样本的一个小时内,我们就召集了一个由安全、浏览器、编译器和平台工程师组成的团队,对该漏洞进行逆向工程,迫使它触发有效载荷,并了解它是如何工作的。” 尽管没有提前通知,而且漏洞利用非常复杂,但 Mozilla 还是在短短 25 小时内开发并发布了修复程序。这种快速反应凸显了漏洞的严重性,以及立即更新到最新版本火狐浏览器的重要性。 修补版本包括: Firefox 131.0.2、Firefox ESR 128.3.1、Firefox ESR 115.16.1、Thunderbird 115.16、Thunderbird 128.3.1 和 Thunderbird 131.0.1。 令人担忧的是,Mozilla 已确认该漏洞正被积极利用来攻击 Tor 浏览器用户。不过,有关这些攻击的性质和攻击者身份的详细信息仍然很少。 转自安全客,原文链接:https://www.anquanke.com/post/id/300781 封面来源于网络,如有侵权请联系删除
Firefox 被曝安全漏洞:显示虚假通知锁定浏览器使用
Mac和Windows平台的Firefox浏览器近日成为了部分恶意网站攻击的目标,这些网站会显示虚假的警告通知并完全锁定浏览器。黑客利用Firefox中的一个BUG来篡改该浏览器,从而在无需用户交互的情况下达到目的。目前Mozilla并未公布解决方案,不过该问题已经造成严重破坏并给用户带来困扰。 这个BUG是由Malwarebytes的Jérôme Segura向Mozilla报告的,他警告称通过特制的JavaScript能够利用这个漏洞。黑客可以伪装成技术支持网站,警告用户当前正在使用盗版的Windows系统。 如Ars Technica所报告,警告消息为: 请停止并且不要关闭PC。您的计算机的注册表项已锁定。为什么我们阻止您的计算机? Windows注册表项是非法的。 Windows桌面正在使用盗版软件。 Window桌面通过Internet发送病毒。该Windows桌面已被黑客入侵。为了您的安全,我们封锁了这台计算机。 该网站说明: 关闭窗口的唯一方法是使用Windows任务管理器或macOS中的“强制关闭”功能强制关闭整个浏览器。即使那样,Firefox也会重新打开以前打开的选项卡,导致无休止的循环。要解决此问题,用户必须强制关闭Firefox,然后在重新启动Firefox后在加载之前立即关闭虚假网站的选项卡。 Mozilla表示目前正在调查和制作修复补丁,不过目前没有准确的发布时间。 (稿源:cnBeta,封面源自网络。)
Firefox 最安全?唯一通过德国联邦信息安全局考核的浏览器
在近期德国网络安全机构“德国联邦信息安全局(BSI)”针对几大 Web 浏览器进行的审查中,Firefox 在安全性上获得了最高分,并且是唯一通过所有强制性安全功能最低要求的浏览器。 不过前提是 BSI 只对 Mozilla Firefox 68(ESR)、Google Chrome 76、Microsoft Internet Explorer 11 和 Microsoft Edge 44 进行了测试,并不包括 Safari、Brave、Opera 与 Vivaldi 等浏览器。 此次测试是使用 BSI 于 2019 年 9 月发布的“现代安全浏览器”指南中详述的规则进行的。BSI 通常根据该指南就可以安全使用哪些浏览器向政府机构和私营公司提供建议。此次指南更新完善了现代浏览器新增和改进的安全措施与机制,例如 HSTS、SRI、CSP 2.0、遥测处理和改进的证书处理机制。 根据 BSI 的新指南,被认为安全的现代 Web 浏览器必须满足以下最低要求: 必须支持 TLS 必须具有受信任证书的列表 必须支持扩展验证(EV)证书 必须根据证书吊销列表(CRL)或在线证书状态协议(OCSP)验证加载的证书 浏览器必须使用图标或颜色高亮来显示通信何时加密到远程服务器或采用明文形式 仅在经过特定用户的批准后,才允许连接到使用过期证书运行的远程网站 必须支持 HTTP Strict Transport Security (HSTS) (RFC 6797) 必须支持 Same Origin Policy (SOP) 必须支持 Content Security Policy (CSP) 2.0 必须支持子资源完整性(SRI) 必须支持自动更新 必须为关键的浏览器组件和扩展支持单独的更新机制 必须对浏览器更新进行签名和验证 浏览器的密码管理器必须以加密形式存储密码 必须仅在用户输入主密码之后允许访问浏览器的内置密码库 用户必须能够从浏览器的密码管理器中删除密码 用户必须能够阻止或删除 cookie 文件 用户必须能够阻止或删除自动完成历史记录 用户必须能够阻止或删除浏览历史记录 组织管理员必须能够配置或阻止浏览器发送遥测/使用数据 浏览器必须支持一种机制来检查有害内容/URL 浏览器应允许组织运行本地存储的 URL 黑名单 必须支持一些设置,用户可以在其中启用/禁用插件、扩展或脚本 浏览器必须能够导入集中创建的配置设置,非常适合大规模企业部署 必须允许管理员禁用基于云的配置文件同步功能 必须在初始化后以最小的操作系统权限运行在操作系统中 必须支持沙箱 所有浏览器组件必须彼此隔离,并且与操作系统隔离。隔离组件之间的通信只能通过定义的接口进行,不能直接访问隔离组件的资源 网页需要彼此隔离,最好以独立进程的形式,还要允许线程级隔离 必须使用支持堆栈和堆内存保护的编程语言对浏览器进行编码 浏览器供应商必须在公开披露安全漏洞后不超过 21 天提供安全更新。如果主浏览器供应商未能提供安全更新,则组织必须移至新的浏览器 浏览器必须使用 OS 内存保护,例如地址空间布局随机化(ASLR)或数据执行保护(DEP) 组织管理员必须能够管理或阻止未经批准的附件/扩展的安装 根据 BSI 的说法,Firefox 是唯一支持以上所有要求的浏览器,其它浏览器测试不通过的原因包括: 缺少对主密码机制的支持(Chrome、IE、Edge) 没有内置的更新机制(IE) 没有阻止遥测收集的选项(Chrome、IE、Edge) 不支持 SOP(IE) 不支持 CSP(IE) 不支持 SRI(IE) 不支持浏览器配置文件/不同的配置(IE、Edge) 缺乏组织透明度(Chrome、IE、Edge) (稿源:开源中国,封面源自网络。)
火狐和谷歌浏览器的无界面模式给用户带来新安全隐患
火狐浏览器和谷歌浏览器均在 2017 年 6 月前后在各自的软件里新增面向开发者进行自动化测试的无界面模式,即开发人员可利用该模式运行自动化测试,以便记录页面加载及按钮点击和表单填充的运行状况、优化网页的响应和加载并提高用户体验等。不过,目前已经有恶意软件通过该模式在后台自动点击广告代码。 无界面模式:借助该功能可以在操作系统里不出现可视化的 GUI 界面但同时保持浏览器在后台静默运行。 据悉,由于用户在正常使用的情况下是看不到任何变化的,因此即使存在恶意软件在后台运行无界面模式也不易被发觉。此外,如果恶意软件在无界面模式中加载挖矿代码时,用户即使关闭所有前台页面也不能解决该问题,因为安全软件还不能拦截这种含有恶意目的的操作模式。遗憾的是,暂时无法主动禁用浏览器的无界面模式,估计要等恶意事件发生后开发人员才能修复。 稿源:蓝点网,封面源自网络;