Бесплатно Экспресс-аудит сайта:

25.02.2015

В новом обновлении Mozilla Firefox исправлены 17 брешей и реализована поддержка HTTP/2

Компания Mozilla  выпустила  обновление Firefox 36.0, в котором исправлено 17 брешей, а также реализована полная поддержка второго поколения протокола HTTP/2. Несмотря на то, что в обновлении исправлено значительное количество уязвимостей, только 4 из них расцениваются как критические.

Одной из них является переполнение буфера (CVE-2015-0829) в библиотеке libstagefright. Брешь, обнаруженная исследователем безопасности под псевдонимом Pantrombka, существует из-за некорректной обработки MP4-файлов во время проигрывания видео. Данная уязвимость позволяет осуществить аварийное завершение работы программы.

Еще одна уязвимость использования после освобождения была обнаружена специалистом Полом Банда (Paul Bandha). Данная брешь, которой был присвоен идентификатор CVE-2015-0831, также позволяет осуществить аварийное завершение работы.

Остальные критические уязвимости являются ошибками безопасности памяти (CVE-2015-0835 и CVE-2015-0836).

Стоит отметить, что главным нововведением в последней версии Firefox стала  реализация  поддержки недавно  одобренных  спецификаций протокола HTTP/2. Новый бинарный протокол заметно повышает эффективность использования сетевых ресурсов за счёт мультиплексирования запросов, расстановки приоритетов для запросов и сжатия заголовков HTTP, а также проактивных push-ответов со стороны сервера.