Mozilla выпустила обновление Firefox, в котором закрыта некая уязвимость, предположительно аналогичная ранее обнаруженной в Google Chrome — она позволяла обходить защиту «песочницы» в браузере.

Источник изображения: mozilla.org

На этой неделе Google выпустила экстренное обновление Chrome для Windows, чтобы закрыть уязвимость нулевого дня, эксплуатируемую злоумышленниками. Ошибку обнаружили специалисты «Лаборатории Касперского» — она эксплуатировалась в рамках фишинговой кампании «Форумный тролль», организаторы которой рассылали потенциальным жертвам письма якобы с приглашениями на мероприятие политического характера. Людям, которые пытались перейти по ссылке из письма, не нужно было совершать дополнительных действий — эксплойт пробивался через песочницу Chrome, которая изолирует вкладки и плагины браузера друг от друга. Подробности, касающиеся уязвимости за номером CVE-2025-2783 не разглашаются, но известно, что она могла использоваться совместно с другим эксплойтом, позволяющим запускать удалённое выполнение кода.

Google поблагодарила экспертов «Лаборатории Касперского» за выявление проблемы и обновила Chrome, пояснив что ошибка была вызвана «некорректной обработкой дескрипторов в неуказанных обстоятельствах в Mojo для Windows». Mojo — это фреймворк для межпроцессного взаимодействия в Chromium. Разработчики Mozilla изучили механизмы работы песочницы в собственном браузере Firefox и выпустили для него обновление, которое закрывает схожую уязвимость за номером CVE-2025-2857 — она также позволяла обходить защиту песочницы в программе. «Злоумышленники могли нарушить работу родительского процесса, чтобы утечка дескрипторов в непривилегированные дочерние процессы помогла выйти из песочницы», — рассказали в Mozilla.

Учитывая, что на движке Chromium работает множество браузеров, в том числе Edge, Opera и Brave, в ближайшее время следует ожидать и их экстренных обновлений, если этого ещё не случилось. Разработчики основанного на Firefox браузера Tor накануне также выпустили срочное обновление версии для Windows.

Пользователям устаревших версий Mozilla Firefox рекомендуется обновиться до 14 марта — в противном случае возникает риск получить неработающие расширения, сбои при воспроизведении медиафайлов с защитой DRM и другие ошибки, потому что истекает корневой сертификат.

Источник изображения: mozilla.org

Проблемы грозят пользователям Firefox версии ниже 128, которая вышла 9 июля минувшего года, а также выпуска расширенной поддержки версии 115.13. 14 марта истекает срок действия корневого сертификата безопасности, который используется для проверки содержимого с цифровой подписью, защищённых медиафайлов и расширений. Обновить браузер до более свежей или в идеале последней версии потребуется пользователям Firefox под Windows, macOS, Linux и Android — версию для iOS это не затрагивает, потому что она работает на движке WebKit. На Firefox также основан браузер Tor, поэтому и его пользователям лучше убедиться, что используется актуальная версия браузера Mozilla.

Корневой сертификат, грозящий сложностями, был выпущен Mozilla для защиты самого браузера и экосистемы вокруг него, и на конкурентов в лице Chrome, Edge и Safari он не повлияет. Помимо функциональных сбоев, истекший сертификат может стать проблемой и для безопасности — с ним пользователи могут установить вредоносное расширение или перейти на сомнительный веб-сайт. На этот раз Mozilla решила предупредить об истечении сертификата заблаговременно — в мае 2019 года это произошло внезапно и вызвало недовольство пользователей, а компании пришлось исправлять ситуацию.

В субботу, 15 марта, выходит обновлённая политика хранения корневых сертификатов Mozilla — MRSP v3.0. Она призвана улучшить обработку отозванных сертификатов безопасности. Центры сертификации также должны будут постепенно отказаться от двойных сертификатов, которые обрабатывают TLS и S/MIME, поскольку такая практика не обеспечивает надлежащей безопасности.

Mozilla объявила о выпуске Firefox 136 — некоторые из новых функций поклонники браузера ожидали уже давно. В интерфейсе теперь доступны вертикальные вкладки; нативная Arm-версия для Windows и Linux работает на совместимых компьютерах быстрее и потребляет меньше энергии; на машинах с графикой AMD под Linux теперь доступно аппаратное ускорение при воспроизведении видео, как и ускорение при проигрывании видеофайлов HEVC (H.265) на компьютерах Mac.

Источник изображения: mozilla.org

Ранее вертикальные вкладки в Firefox появлялись только при установке расширения, сам браузер получил их поддержку в бета-версии Firefox 131, а в стабильной сборке они дебютировали только теперь. Собственная реализация вертикальной панели вкладок имеет важное преимущество перед большинством расширений: её можно уменьшить, чтобы отображались только значки вкладок без их названия. Она является дополнением к стандартной боковой панели Firefox — здесь есть кнопки для доступа к таким функциям как синхронизация вкладок, история и закладки.

Второе важное нововведение — появление собственных сборок Firefox Arm64 для Linux и Windows, которые работают быстрее и потребляют меньше энергии, чем при работе через эмулятор x86. Ранее в Firefox уже была реализована поддержка Arm64 на Mac, но с выходом версии 136 браузер получил оптимизацию: он автоматически перемещает фоновые задачи на эффективные ядра Apple Silicon, что означает экономию энергии.

Mozilla Firefox 136 под Linux теперь поддерживает аппаратное ускорение с графикой AMD при воспроизведении видео; в версии для Mac появилось аппаратное ускорение при воспроизведении видеофайлов HEVC (H.265). Разница для современных компьютеров будет, вероятно, незначительной, но эти меры способствуют экономии ресурсов центрального процессора и энергии. Сжатие LZMA помогло уменьшить размер установочного файла .DMG для Mac. Сам браузер при открытии нового сайта теперь по умолчанию пытается подключиться к нему по HTTPS, и только если это не удаётся, повторяет попытку через незашифрованный HTTP. Наконец, появились некоторые нововведения для разработчиков.

Mozilla начала пересматривать формулировки «Условий использования» браузера Firefox, которые вызвали резкую критику общественности. В предыдущем варианте компания наделяла себя слишком широкими правами на данные, принадлежащие пользователям. Также было опубликовано разъяснение о том, продаёт ли компания данные пользователей.

Источник изображения: Rubaitul Azad / unsplash.com

Новая формулировка уже присутствует в англоязычной версии документа, а вариант на русском языке пока имеет прежний вид: «Когда вы загружаете или вводите информацию через Firefox, вы тем самым предоставляете нам неисключительную, безвозмездную, действующую во всём мире лицензию на использование этой информации для помощи вам в навигации, восприятии и взаимодействии с онлайн-контентом, как вы указываете при использовании Firefox».

Обновлённый фрагмент «Условий использования» сформулирован следующим образом: «Вы предоставляете Mozilla права, необходимые для работы Firefox. Это включает обработку ваших данных, как это описано в „Уведомлении о конфиденциальности“. Это также включает неисключительную, безвозмездную, действующую во всём мире лицензию с целью делать то, что вы просите, с контентом, который вы вводите в Firefox. Это не даёт Mozilla никаких прав собственности на данный контент».

Компания также разъяснила, почему убрала утверждение, что «никогда не продаёт ваши данные». По версии Mozilla, «в некоторых местах юридическое определение „продажи данных“ является обширным и развивается», а «сравнительные толкования требований „не продавать“ на практике оставляют многие компании неуверенными в своих точных обязательствах и в том, рассматриваются ли они как „продажа данных“». Компания признала, что «существует ряд мест, где мы собираем и передаём некоторые данные нашим партнёрам», чтобы Firefox оставался «коммерчески целесообразным», но об этом говорится в «Уведомлении о конфиденциальности», и Mozilla прилагает усилия, чтобы удалять из этих массивов информацию, по которой можно идентифицировать человека, или передавать её в агрегированном формате.

Mozilla опубликовала новые редакции «Условий использования» и «Уведомления о конфиденциальности». Этот шаг компания объяснила стремлением обеспечить прозрачность своих обязательств в отношении защиты конфиденциальности пользователей. Некоторые формулировки в этих документах звучат пугающе, но в компании заверили, что в противном случае браузер лишится основных функций.

Источник изображения: mozilla.org

Среди новых положений значится, что пользователи предоставляют Mozilla «неисключительную, безвозмездную, действующую во всем мире лицензию» на использование данных, которые скачиваются или вводятся через браузер. Слишком расплывчатая формулировка вызвала тревогу среди пользователей, поскольку она не проясняет, к каким именно данным компания хочет получить доступ — эти данные могут включать личную информацию, сохранённые пароли и историю просмотра.

«Когда вы загружаете или вводите информацию через Firefox, вы тем самым предоставляете нам неисключительную, безвозмездную, действующую во всём мире лицензию на использование этой информации для помощи вам в навигации, восприятии и взаимодействии с онлайн-контентом, как вы указываете при использовании Firefox», — говорится в документе. Этот пункт вызвал бурные обсуждения в Сети, в том числе в сообществе Reddit. Подобная риторика традиционно ассоциируется с технологическими гигантами и контрастирует с идеалами открытости, которые, по её собственным заверениям, поддерживает Mozilla. Ситуацию усугубила ещё одна формулировка: «Mozilla имеет право приостановить или прекратить чей-либо доступ к Firefox в любое время по любой причине, в том числе, если Mozilla решит прекратить действие Firefox».

Кроме того, компания удалила из раздела FAQ вопрос «Продаёт ли Firefox ваши данные?», где был ответ «Нет. Никогда не продавали и не будем. И мы защищаем вас от многих рекламодателей, которые это делают. Продукты Firefox разработаны для защиты вашей конфиденциальности. Это обещание». Пользователи справедливо решили, что больше это обещание не действует.

В самой компании, однако, не нашли повода драматизировать ситуацию. Mozilla продолжает настаивать, что Firefox остаётся программой с открытым исходным кодом, а новые условия применяются только к официальной версии браузера. «Мы обратили внимание на небольшую путаницу в связанных с лицензиями формулировках и хотим дать разъяснение. Нам необходима лицензия, чтобы некоторые из основных функций Firefox были возможными. Без неё мы, например, не смогли бы использовать введённую в Firefox информацию. Она НЕ (sic) даёт нам права собственности на ваши данные или права использовать их для чего-либо за исключением указанного в „Уведомлении о конфиденциальности“. Новая политика просто даёт возможность Firefox работать так, как он работал всегда, помогать пользователям посещать веб-страницы, разрешать браузеру сохранять вашу личную информацию, такую как данные форм, или получать доступ к файлу, который вы хотели загрузить на сайт», — гласит посвящённая инциденту публикация в блоге Mozilla.

Дни расширения uBlock Origin для блокировки рекламы сочтены — по крайней мере, в браузерах на базе Chromium. В минувшие выходные блокировщик перестал работать в Google Chrome, а теперь его отключили и в Microsoft Edge. А вот в Mozilla наоборот пообещали, что браузер Firefox пока сохранит совместимость с этим и другими «устаревшими» расширениями на базе Manifest V2.

Источник изображения: microsoft.com

Браузер Microsoft Edge начал показывать предупреждение об отключении по меньшей мере двух расширений, одним из которых оказался uBlock Origin — пользователям рекомендовали удалить эти расширения, потому что они больше не поддерживаются. Microsoft ранее сообщала о намерении предпринять эту меру, но конкретная дата не указывалась.

Перемены связаны с развёртыванием платформы Manifest V3 для браузерных расширений — эта платформа обещает более высокий уровень безопасности, более надёжную защиту конфиденциальности пользователя по сравнению с Manifest V2. Но некоторые средства, в том числе необходимые для работы uBlock Origin, в новой версии недоступны. Всё потому, что набор интерфейсов WebRequest API, позволяющий блокировать рекламу и другое содержимое до его загрузки, имеет ограничения в Manifest V3. К примеру, расширение не может блокировать всплывающее видео или сообщения, которые по умолчанию не рассматриваются как реклама.

Процесс отключения uBlock Origin в Google Chrome и Microsoft Edge уже начался, а значит, у пользователей этих браузеров расширение либо перестало работать, либо прекратит работать в ближайшее время. Альтернативой может послужить, например uBlock Origin Lite за авторством тех же разработчиков. Оно не имеет тех же средств управления, что есть у оригинального uBlock Origin, но поддерживает Manifest V3, поэтому его отключение не планируется. Существуют и другие блокировщики рекламы с поддержкой новой версии платформы, поэтому можно изучить и их ассортимент.

Источник изображения: mozilla.org

Ещё один вариант — сменить браузер. На фоне событий в лагере Chromium компания Mozilla опубликовала сообщение, в котором заверила, что Firefox сохранит поддержку Manifest V2 параллельно с Manifest V3. Браузер останется совместимым с API blockingWebRequest и declarativeNetRequest в реализациях обеих платформ, а значит, расширения вроде uBlock Origin продолжат работать. Разработчики Firefox не указали, как долго это продлится, но пока существуют мощные расширения, улучшающие безопасность и защиту конфиденциальности пользователей, остаются веские причины не отказываться от Manifest V2.

Это решение — вопрос соблюдения собственного манифеста Mozilla, «Пятый принцип» которого гласит: «У людей должна быть возможность формировать интернет и свои способы работать в нём». Поддержка Manifest V3 появилась в Firefox в ноябре 2022 года — тогда Mozilla заявила, что рассмотрит вопрос о прекращении поддержки Manifest V2 к концу 2023 года; в марте 2024 года компания сообщила, что не планирует прекращать его поддержку в обозримом будущем.

Компания Mozilla объявила о выпуске новой версии браузера Firefox 135, в которой появилась интеграция с искусственным интеллектом (ИИ). В отличие от Microsoft Edge с фирменным чат-ботом Copilot или Brave с Leo AI, Firefox не разрабатывает собственных ИИ-помощников, а предоставляет доступ к сторонним чат-ботам, таким как Anthropic Claude, OpenAI ChatGPT, а также менее известным.

Источник изображения: Mozilla

Ранее эта функция была помечена как «экспериментальная» и тестировалась на небольшой группе пользователей, но теперь, согласно официальным примечаниям к релизу, она постепенно станет доступна для всех, сообщает PCWorld. Важно отметить, что Firefox не предоставляет доступ к платным тарифам ИИ-сервисов — пользователям придётся оформлять их самостоятельно. Чтобы получить доступ к функциям искусственного интеллекта, нужно нажать на кнопку искры Sparkle в боковой панели. Там же можно выбрать из выпадающего меню предпочитаемого ИИ-провайдера или переключаться между ними.

Среди других нововведений стоит отметить улучшенную защиту от злоупотребления историей браузера со стороны недобросовестных сайтов. Firefox будет блокировать манипуляции площадок, которые не дают воспользоваться кнопкой перехода со стрелкой «Перейти на предыдущую страницу» и вместо этого перенаправляют на другие страницы этого же сайта.

Кроме интеграции с ИИ в новой версии браузера обновление получил переводчик Firefox Translations. Он теперь поддерживает перевод веб-страниц на упрощенном китайском, японском и корейском языках, а русский язык стал доступен в качестве целевого языка для перевода.

Также в новой сборке были внесены другие изменения, включая улучшения механизма проверки отзыва сертификатов CRLite, который обязывает веб-серверы предоставлять доказательства наличия действующих сертификатов. Эта мера должна повысить общую безопасность использования браузера.

Почти все крупные сайты отслеживают активность посетителей, а затем продают или предоставляют эту информацию другим компаниям — на этом держится рынок рекламы в интернете. Большинство веб-браузеров предлагают возможность включить в настройках функцию под названием «Не отслеживать» (Do Not Track). Правда, сайты дружно игнорируют эти запросы, так как использование функции является добровольным. Поэтому Mozilla решила убрать её из Firefox начиная с версии 135.

Источник изображений: unsplash.com

Как следует из названия, при включённой опции «Не отслеживать» браузер сообщают сайту о нежелательности отслеживания. Однако у сайтов нет причин уважать этот сигнал — то есть настройка бесполезна (и порою вводит в заблуждение). Хуже того, эта опция не просто игнорируется, а имеет противоположный эффект, поскольку позволяет сайтам проще идентифицировать пользователя и более эффективно его отслеживать. Именно поэтому Apple удалила «Не отслеживать» из Safari ещё в 2019 году.

«Начиная с Firefox версии 135, флажок “Не отслеживать” будет удалён. Многие сайты не учитывают это указание на предпочтения пользователя в отношении конфиденциальности, и в некоторых случаях это может привести к снижению уровня конфиденциальности», — говорится на сайте разработчика.

Справочные материалы Firefox рекомендуют для повышения конфиденциальности использовать настройку «Сообщать веб-сайтам, чтобы они не продавали и не разглашали мои данные». Эта опция соответствует современным нормам глобального контроля конфиденциальности (GPC). Требования к GPC соблюдаются всё большим числом сайтов, а в некоторых регионах они уже закреплены законодательством.

Удаление функции «Не отслеживать» из Firefox в очередной раз подтверждает, что саморегулирование в интернете не работает.

Эксперты в области кибербезопасности обнаружили две уязвимости нулевого дня, которые эксплуатировались хакерской группировкой RomCom — жертвами стали владельцы машин под управлением Windows и пользователи Firefox по всей Европе и в Северной Америке.

Источник изображений: ESET

В крупномасштабной кампании специалисты ESET обвинили группировку RomCom, которая якобы базируется в России. В серии взломов злоумышленники эксплуатировали сразу две уязвимости нулевого дня в браузере Firefox и ОС Windows — ошибки, которые использовались хакерами против жертв ещё до того, как разработчики ПО их исправили. Атака осуществлялась с минимальным участием пользователей — им было достаточно посетить вредоносный веб-сайт. Когда жертва открывала ресурс, автоматически активировался эксплойт, и на компьютер устанавливался бэкдор RomCom, предоставляя злоумышленникам доступ к машине.

Большинство жертв атаки оказалось в Европе и Северной Америке

Число вероятных жертв вредоносной кампании варьируется от 1 до 250 на страну — большинство пострадавших находились в Европе и Северной Америке. Разработчики Mozilla исправили уязвимость в браузере Firefox 9 октября — на следующий день после того, как ESET их уведомила. Исправили уязвимость и разработчики проекта Tor – одноимённый браузер основан на кодовой базе Firefox. Доказательств того, что в ходе кампании эксплуатировалась уязвимость браузера Tor, экспертам ESET обнаружить не удалось. Microsoft исправила уязвимость Windows 12 ноября — о ней компании сообщили в подразделении Google Threat Analysis Group.

Mozilla Foundation, собственник дочерней компании Mozilla Corporation, занимающейся разработкой браузера Firefox, уволила 30 % своих сотрудников и закрыла отдел защиты общественных интересов (адвокации), заявив о необходимости сосредоточить внимание на более актуальных задачах и выработке единой стратегии всей организации в связи с «неумолимым натиском перемен».

Источник изображения: blog.mozilla.org

Как подтвердил глава по коммуникациям Mozilla Foundation Брэндон Боррман (Brandon Borrman) в сообщении для TechCrunch, организация вынуждена была пойти на этот шаг, чтобы повысить свою эффективность. «Mozilla Foundation реорганизует команду, чтобы ускорить работу по обеспечению более открытого и справедливого технического будущего для всех нас. К сожалению, это значит, что мы прекращаем некоторые из наших традиционных проектов и упраздняем соответствующие должности, чтобы сосредоточиться на более важных задачах», — говорится в заявлении.

Согласно ежегодным налоговым отчётам, в 2022 году в компании числилось 60 сотрудников. Однако на момент сокращений штат насчитывал около 120 человек, что было подтверждено источником, знакомым с ситуацией. Представитель Mozilla не стал оспаривать эти данные, как, впрочем и то, что это уже второе сокращение в Mozilla за год. Ранее увольнения коснулись сотрудников подразделения, занимающегося разработкой популярного браузера Firefox.

Напомним, Mozilla состоит из нескольких организаций, одна из которых — Mozilla Corporation, разрабатывающая браузер Firefox и другие сервисы, а другая — её некоммерческий фонд, курирующий структуру корпоративного управления Mozilla и устанавливающий политику Firefox, которая в значительной степени была сосредоточена на защите конфиденциальности и децентрализации технологий, а также на «создании более безопасного и прозрачного онлайн-пространства для всех».

Тридцатого октября исполнительный директор Mozilla Foundation Набиха Сайед (Nabiha Syed) в письме к сотрудникам подтвердила ликвидацию двух крупных подразделений фонда — адвокации и подразделение глобальной программы. «Наша миссия в Mozilla сегодня более важна, чем когда-либо, — пишет Сайед. — Мы находимся под непрекращающимся натиском изменений в технологической и других сферах, и идея ставить людей выше прибыли кажется нам всё более радикальной».

Сообщается, что целью изменений является создание «объединённого, мощного нарратива» от имени фонда, включая обновление стратегических коммуникаций и, как отметил Боррман, «адвокация по-прежнему останется центральной частью работы Mozilla Foundation и будет интегрирована в другие функциональные области».

Компания Mozilla Corporation, известная главным образом как разработчик браузера Firefox, была впервые оштрафована в России. Как сообщает «РИА Новости», Таганский районный суд Москвы оштрафовал компанию на 3,5 млн рублей за неудаление запрещённой в РФ информации после рассмотрения протокола об административном правонарушении, составленного Роскомнадзором в отношении владельца браузера.

Источник изображения: Mozilla

«Постановлением Таганского районного суда города Москвы Mozilla Corporation признана виновной в совершении административного правонарушения, предусмотренного частью 2 статьи 13.41 КоАП РФ (неудаление владельцем сайта информации в случае, если обязанность по удалению такой информации предусмотрена законодательством Российской Федерации). Ей назначен административный штраф в размере 3,5 млн рублей», — сообщили агентству в суде.

Это, похоже, первый случай, когда российский суд оштрафовал владельца не интернет-площадки или сервиса, а браузера. Ранее штрафы по упомянутой статье неоднократно получали Telegram, Microsoft, Viber и другие площадки. Также неоднократно штрафовали за нарушение российского законодательства компанию Google. В частности, в июле компании был назначен административный штраф в размере 4 млн рублей в связи совершением административного правонарушения, предусмотренного ч. 2 ст. 13.41 КоАП РФ. Также компании были назначены три оборотных штрафа — в размере 7,2 млрд рублей — в декабре 2021 года, на 21,07 млрд рублей — в июле 2022 года И ещё на 4,6 млрд рублей — в апреле 2024 года. Кроме того, российские телеканалы требуют от Google выплатить штраф в размере два ундециллиона рублей.

Компания Mozilla празднует 20-летие своего браузера, выпустив версию Firefox 132 с важными обновлениями. Одним из главных нововведений стало полное блокирование сторонних файлов cookie с целью усиления защиты конфиденциальности пользователей. Кроме того, появились поддержка 4K-видео и другие полезные функции.

Источник изображения: Mozilla

В новой версии Firefox устранены несколько уязвимостей и улучшена безопасность в целом. Как сообщает PCWorld, исправлены 11 уязвимостей, две из которых классифицированы как серьёзные. Одна из них — CVE-2024-10459 — является уязвимостью типа «use-after-free», которая может привести к выполнению вредоносного кода из-за некорректного использования динамической памяти в процессе работы браузера. Другой уязвимостью с высоким риском является CVE-2024-10458, которая позволяет передавать авторизацию с безопасного сайта на небезопасный сайт.

Обновление также добавляет поддержку 4K-видео на основных стриминговых платформах, используя для воспроизведения контента технологию Microsoft PlayReady, которая включает в себя шифрование и предотвращение копирования медиафайлов. Пока, правда, эта функция находится на стадии тестирования и доступна на ограниченном количестве сайтов.

Особое внимание уделено защите данных. Пользователи, включившие в настройках браузера режим «Строгий» (Firefox > Приватность и Защита > Улучшенная защита от отслеживания), теперь получат полное блокирование всех сторонних файлов cookie. Также ограничен срок их хранения до 400 дней. Mozilla поработала и над отслеживающими в URL параметрами (UTM-метки). Если использовать функцию «Копировать ссылку без отслеживания», то метки будут из ссылки удалены.

Кроме основного браузера, Mozilla обновила Firefox ESR, Tor Browser и почтовый клиент Thunderbird. Версия Firefox ESR 128.4.0 получила 10 исправлений уязвимостей, а в обновлённый Tor Browser 14.0.1 просто были перенесены новые функции защиты из Firefox 132. Почтовый клиент Thunderbird версии 128.4.0esr (поддерживается только в новых операционных системах) также получил обновление и исправление 10 уязвимостей.

Для тех, кто использует Firefox на нескольких устройствах, стала доступна синхронизация закладок, открытых вкладок и паролей. При этом, если активирована боковая панель для синхронизированных вкладок, можно закрывать вкладки на других устройствах через контекстное меню. Однако эту функцию придётся активировать вручную через Настройки браузера.

Напомним, официальной датой юбилея Firefox является 9 ноября 2024 года, однако выход версии 132 уже стал частью праздничных мероприятий. Следующее обновление, Firefox 133, запланировано на 26 ноября 2024 года.

Популярное расширение для блокировки рекламы uBlock Origin Lite было удалено из официального магазина дополнений Firefox после конфликта между разработчиком расширения и Mozilla. Как сообщает PCWorld, разработчик uBlock Origin Lite Рэймонд Хилл (Raymond Hill) принял решение прекратить поддержку версии для Firefox из-за возникших разногласий.

Источник изображения: Firefox

Конфликт начался в начале сентября, когда Mozilla неожиданно пометила все версии uBlock Origin Lite как нарушающие правила Firefox. Дополнение также обвинили в сборе данных пользователей и нарушении политики конфиденциальности — одной из ключевых причин, по которой многие выбирают именно Firefox.

Хилл отверг эти обвинения, заявив: «Любой, кто обладает хотя бы базовыми знаниями JavaScript, может за несколько секунд убедиться, что эти претензии не имеют смысла». Позже Mozilla признала, что допустила ошибку в оценке расширения, однако Хилл решил прекратить разработку и поддержку uBlock Origin Lite для браузера Firefox.

Он объяснил своё решение враждебным процессом одобрения дополнений в Mozilla: «Версия uBO Lite для Firefox больше не будет существовать, я прекращаю поддержку из-за абсурдного и враждебного процесса проверки на AMO [addons.mozilla.org]. Каждый раз, когда я изучаю ситуацию, я прихожу к выводу, что обратная связь от команды Mozilla Add-ons была слишком негативной, и я в принципе больше не хочу участвовать в этом процессе».

В итоге расширение было окончательно удалено автором из магазина дополнений Firefox, однако последняя версия uBOLite_2024.9.22.986 останется доступной на GitHub в виде самоподдерживаемого релиза, но новых выпусков больше не будет.

Венская правозащитная группа NOYB доложила, что подала в австрийское ведомство по защите персональных данных жалобу на компанию Mozilla, обвинив разработчика браузера Firefox в слежке за пользователями на веб-сайтах без согласия самих пользователей.

Источник изображения: noyb.eu

Основанная активистом Максом Шремсом (Max Schrems) правозащитная группа в области цифровых технологий NOYB (None Of Your Business) заявила, что Mozilla включила в Firefox функцию «атрибуции с сохранением конфиденциальности», которая превратила браузер в инструмент слежки за пользователями без их непосредственного уведомления, а выгодоприобретателями являются владельцы веб-сайтов.

По версии Mozilla, функция помогает администраторам сайтов понять, как работают их объявления, не требуя сбора информации об отдельных пользователях. Она характеризуется как неинвазивная альтернатива межсайтовому слежению за людьми, помогающая значительно сократить сбор персональных данных. Но и в таком виде функция нарушает гарантированные европейскими законами о конфиденциальности права пользователей, говорят в NOYB, к тому же в Firefox она включена по умолчанию.

«Позор, что такая организация как Mozilla считает пользователей слишком глупыми, чтобы ответить „да“ или „нет“. Пользователям нужна возможность сделать выбор, и по умолчанию функция должна быть отключена», — считает юрист NOYB Феликс Миколаш (Felix Mikolasch). Браузер с открытым кодом Firefox некогда был популярен среди пользователей благодаря функциям защиты конфиденциальности, но сейчас он уступает не только лидеру рынка Google Chrome, но также Apple Safari и Microsoft Edge — доля рынка Firefox выражена однозначным показателем.

NOYB призывает Mozilla информировать пользователей о своей деятельности по обработке данных, отключить указанную функцию по умолчанию и удалить все незаконно, по версии правозащитников, собранные у миллионов пользователей данные. В июне организация подала жалобу на Alphabet за то, что браузер Chrome, по её мнению, также незаконно следит за пользователями. Некоторые из нескольких сотен жалоб, поданных NOYB против крупных технологических компаний, привели к большим штрафам.

Браузеры Google Chrome, Apple Safari и Mozilla Firefox некорректно обрабатывают обращение к IP-адресу 0.0.0.0, направляя запросы на другие адреса, включая локальный localhost, который часто используется при разработке кода. Этой уязвимостью уже пользовались хакеры, отправляя запросы на адрес 0.0.0.0 своей жертвы, что открывало им доступ к закрытой информации, сообщили эксперты по кибербезопасности израильской компании Oligo. Они присвоили этой схеме атаки название «0.0.0.0-day».

Источник изображения: Pete Linforth / pixabay.com

При реализации этой схемы атаки злоумышленник обманом заставляет свою жертву посетить сайт, который кажется безобидным, но отправляет вредоносный запрос на доступ к файлам через адрес 0.0.0.0. На первом же этапе вторжения хакер может получить доступ к коду разработчика и внутренним сообщениям; но эта атака также открывает доступ к локальной сети жертвы. Это значит, что схема ограничена возможностью атаковать лишь отдельных лиц и компании, которые сами размещают веб-серверы.

Механизм 0.0.0.0-day позволяет, например, запускать вредоносный код на сервере, где размещён фреймворк Ray AI, который используется для обучения искусственного интеллекта крупнейшими компаниями, в том числе Amazon и Intel. Это не теоретическая угроза — об эксплуатирующем эту уязвимость вредоносном ПО рассказывал инженер по кибербезопасности Google Дэвид Адриан (David Adrian). Атаки этого рода возможны на компьютерах под управлением macOS и Linux, но не Windows — Microsoft заблокировала доступ к адресу 0.0.0.0 во всей ОС. Apple сообщила, что намеревается блокировать все попытки сайтов обращаться к этому адресу в бета-версии macOS 15 Sequoia; то же самое планируют сделать эксперты по кибербезопасности Google Chrome и Chromium.

А вот Mozilla пока не готова предложить то же решение для Firefox — разработчик браузера заявил, что это может вызвать сбои на серверах, использующих адрес 0.0.0.0 в качестве замены localhost, поэтому необходимо принять решение на уровне стандартов. Но израильские эксперты по кибербезопасности настаивают, что угроза значительная: «Разрешая 0.0.0.0, вы разрешаете всё». Подробный доклад они намереваются представить на конференции DEF CON в Лас-Вегасе в ближайшие выходные.