118529
03.04.2015 компания Mozilla представила обновленную версию Firefox 37.0.1, в которой устранены 2 уязвимости, в том числе 1 критическая (CVE-2015-0799) и 1 высокая (CVE-2015-0798).
Уязвимость CVE-2015-0799 связана с возможностью злоумышленника обойти процедуру верификации SSL-сертификата в HTTPS-соединениях посредством манипуляций с заголовком Alt-Svc (Alternative Services), позволяющим задействовать режим шифрования для протокола HTTP/2 без аутентификации, при котором поток данных шифруется без выполнения операции подтверждения достоверности сервера. Это могло привести к осуществлению злоумышленником атаки «человек посередине». Уязвимость устранена посредством отключения поддержки заголовка Alt-Svc из стандарта HTTP/2.
Уязвимость CVE-2015-0798 связана с ошибкой в режиме чтения (Reader Mode) в браузере Firefox для Android-устройств и позволяет получить доступ к привилегированным ресурсам. Эксплуатация уязвимости могла привести к выполнению произвольного кода злоумышленником.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
