Firefox 77 et Tor Browser 9.5 ont été publiés cette semaine avec des correctifs pour diverses vulnérabilités, dont plusieurs classées haute gravité.

Le navigateur de Mozilla est arrivé avec un total de 8 correctifs de sécurité, dont 5 cette adresse haute problèmes de gravité.

Le plus important d’entre eux est un correctif pour CVE-2020-12399, une attaque de synchronisation sur les signatures DSA dans la bibliothèque NSS: en raison de différences de synchronisation lors de l’exécution des signatures DSA, un adversaire pourrait concevoir une attaque et divulguer des clés privées.

Un autre haute La faille de risque corrigée dans cette version était une utilisation après libération dans SharedWorkerService (CVE-2020-12405), déclenchée par une condition de concurrence critique qui pouvait se produire lors de la navigation sur une page malveillante. De plus, Mozilla a corrigé une confusion de type JavaScript avec NativeTypes (CVE-2020-12406).

UNE moyen Le problème de risque a été corrigé dans Firefox 77 cette semaine, où, dans certaines conditions, une mémoire GPU arbitraire serait divulguée à l’écran visible. Deux faible des bugs de gravité ont été corrigés, les deux problèmes d’usurpation d’URL.

Mozilla a également abordé une série de haute bugs de sécurité de la mémoire de gravité dans Firefox 77 et Firefox ESR 68.9. Le navigateur Tor nouvellement sorti 9.5 est basé sur ce dernier.

En plus des correctifs de sécurité dans Firefox ESR 68.9 (corrigeant les failles à haut risque susmentionnées), la dernière version de Tor apporte plusieurs autres améliorations de sécurité, telles que la possibilité de sélectionner la version .onion d’un site Web visité, le cas échéant, ou oignon les administrateurs de services peuvent définir une paire de clés pour le contrôle d’accès et l’authentification sur leur site Web.

À partir de Tor Browser 9.5, si Onion Location est activé, les utilisateurs seront informés lorsqu’un site Web a également une adresse .onion et auront la possibilité de la choisir à la place. De plus, ils peuvent configurer le navigateur pour qu’il utilise toujours l’adresse .onion lorsqu’elle est disponible.

Pour les sites Web où les clés d’authentification sont utilisées comme une couche de sécurité supplémentaire, les utilisateurs du navigateur Tor …

Voir la source de cette publication