Компания Mozilla выпустила обновления безопасности, исправляющее две опасные уязвимости в браузерах Firefox и Firefox ESR (версия браузера с длительным сроком поддержки).
Уязвимость переполнения буфера (CVE-2017-7845) присутствует в Firefox и Firefox ESR и проявляется при проверке элементов с помощью Direct 3D 9 с графической библиотекой ANGLE, используемой для контента WebGL. Проблема связана с некорректным значением, передающимся внутри библиотеки в ходе проверки, что может привести к сбою в работе системы.
Вторая уязвимость CVE-2017-7843 присутствует только в Firefox ESR и позволяет пользователю в режиме приватного просмотра записывать постоянные данные в хранилище IndexedDB, создавая таким образом уникальный отпечаток пользователя. При приватном просмотре хранилище должно быть недоступно, поскольку при выходе из режима введенная информация не будет удалена и данные будут доступны в последующих сессиях браузера.
Обе уязвимости исправлены в версиях Firefox 57.0.2 и Firefox ESR 52.5.2.
WebGL (Web-based Graphics Library) – программная библиотека для языка программирования JavaScript, позволяющая создавать на JavaScript интерактивную 3D-графику, функционирующую в широком спектре совместимых с ней web-браузеров.
IndexedDB – способ постоянного хранения данных внутри клиентского браузера (NOSQL хранилище на стороне клиента).
Источник: securitylab.ru
