В Firefox пропатчили уязвимость 0-day и включили поддержку HTTPS-Only

Татьяна Никитина 18 Ноября 2020 - 16:09

Домашние пользователи

...

Компания Mozilla анонсировала выпуск Firefox 83 и активацию режима HTTPS-Only. Разработчик также устранил 21 уязвимость, в том числе баг нулевого дня в движке Chromium, который злоумышленники уже пробовали использовать в атаках.

Уязвимость 0-day в Chromium (CVE-2020-15999) в прошлом месяце раскрыли участники проекта Google Project Zero. Она связана с работой библиотеки FreeType и относится к классу «переполнение буфера». На момент появления патча для Chrome эксплойт CVE-2020-15999 уже засветился в целевых атаках — злоумышленники пытались применить его в связке с CVE-2020-17087 для Windows.

Разработчики Firefox оценили этот баг как умеренно опасный: он проявляется лишь при определенных настройках браузера и затрагивает только версии Firefox для Linux и Android.

Режим HTTPS-Only, согласно описанию, предусматривает приоритетное использование шифрованных соединений при заходе на сайты. При его включении Firefox автоматически пытается перенаправить все HTTP-запросы на защищенный вариант страниц, меняя http:// в адресной строке на https://. Если HTTPS-альтернатива недоступна, браузер выдает ошибку, предлагая продолжить загрузку страницы по HTTP.

Опция HTTPS-Only в Firefox по умолчанию деактивирована, включить ее можно, открыв в настройках раздел «Приватность и защита».

Остальные нововведения, перечисленные в анонсе Mozilla, призваны повысить производительность браузера, расширить его функциональность либо предоставить пользователям дополнительные удобства.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 28 Апреля 2025 - 13:23

Уязвимости программ Домашние пользователи Корпорации Средства поиска уязвимостей

СберТех расширил свою баг-баунти: можно получить до 200 тысяч за уязвимость

Независимые исследователи смогут получить до 200 тысяч рублей за найденные уязвимости в сервисах СберТеха. Компания расширил свою публичную баг-баунти на платформе BI.ZONE Bug Bounty.

Теперь баг-хантеры могут искать уязвимости не только в платформе GitVerse, но и на любых клиентских и пользовательских сервисах под доменом sbertech.ru.

Размер вознаграждения зависит от степени риска найденной проблемы. Максимальная выплата за уязвимость составляет 200 тысяч рублей.

Генеральный директор СберТеха Максим Тятюшев отметил, что компания хочет не только усилить защиту своих продуктов, но и открыто показать готовность к независимой оценке своих публичных сервисов.

Руководитель продукта BI.ZONE Bug Bounty Андрей Лёвкин добавил, что всё больше разработчиков запускают собственные программы поиска уязвимостей. По его словам, тренд на рост числа баг-баунти в России сохраняется: появляются новые участники из разных отраслей, а вендоры всё активнее работают с независимыми исследователями.

BI.ZONE Bug Bounty — это площадка, где компании размещают свои программы, а баг-хантеры ищут уязвимости и получают выплаты за подтвержденные находки. Среди участников платформы уже есть Сбер, VK, «Т-Банк», «Группа Астра» и другие.

СберТех — разработчик ПО для бизнеса и госсектора, основной поставщик решений для Сбера.