03.02.2023

Обновление Firefox 101.0.1. Усиление требований Mozilla к удостоверяющим центрам

Доступен корректирующий выпуск Firefox 101.0.1, примечательный усилением sandbox-изоляции на платформе Windows. В новой версии включена по умолчанию блокировка доступа к API Win32k (компоненты Win32 GUI, работающие на уровне ядра) из изолированных процессов обработки контента. Изменение внесено накануне соревнования Pwn2Own 2022, которое состоится 18-20 мая. Участники Pwn2Own продемонстрируют рабочие техники эксплуатации ранее неизвестных уязвимостей и в случае успеха получат внушительные вознаграждения. Например, размер премии за обход sandbox-изоляции в Firefox на платформе Windows составляет 100 тысяч долларов.

Среди других изменений упоминаются исправление проблемы с показом субтитров в режиме «картинка в картинке» при использовании Netflix и устранение недоработки с недоступностью некоторых команд в окне режима «картинка в картинке».

Дополнительно сообщается о добавление новых требований в правила хранилища корневых сертификатов Mozilla. Изменения, которые нацелены на решение некоторых давно наблюдаемых пробоем с отзывом сертификатов TLS-серверов, вступят в силу 1 июня.

Первое изменение касается учёта кодов с причинами отзыва сертификата (RFC 5280), которые удостоверяющие центры теперь в ряде случаев обязаны будут указывать в случает отзыва сертификата. Ранее некоторые удостоверяющие центры не передавали подобные данные или назначали их формально, что затрудняло отслеживание причин отзыва сертификатов серверов. Теперь корректное заполнение кодов причины в списках отозванных сертификатов (CRL) станет обязательным и позволит отделить ситуации, связанные с компрометацией ключей и нарушением правил работы с сертификатами, от не касающихся безопасности случаев, таких как смена информации об организации, продажа домена или досрочная замена сертификата.

Второе изменение обязывает удостоверяющие центры передавать в базу корневых и промежуточных сертификатов (CCADB, Common CA Certificate Database) полные URL списков отозванных сертификатов (CRL). Изменение даст возможность полностью учитывать все отозванные сертификаты TLS, а также заранее подгружать в Firefox более полные данные об отозванных сертификатах, которые можно использовать для проверки без отправки запроса на серверы удостоверяющих центров в процессе установки TLS-соединения.

Источник.