Цепочка уязвимостей в Mozilla позволяла захватить контроль над системой
🔍 Исследователи ESET обнаружили критическую уязвимость (CVE-2024-9680) в продуктах Mozilla с оценкой CVSS 9.8. В сочетании с уязвимостью Windows атака позволяла выполнять вредоносный код без каких-либо действий со стороны пользователя.
⚡️ Эксплуатация уязвимости происходила через фейковые сайты, автоматически загружающие вредоносный бэкдор на устройства жертв. Атаки были направлены на пользователей в Европе и Северной Америке в период октября-ноября 2024 года.
💥 Mozilla оперативно выпустила обновления безопасности для Firefox 131.0.2, Thunderbird 115.16 и Tor Browser 13.5.7. Microsoft также устранила связанную уязвимость в Windows, закрыв возможность выхода из песочницы браузера.
#уязвимость #браузер #безопасность #эксплойт
@ZerodayAlert
🔍 Исследователи ESET обнаружили критическую уязвимость (CVE-2024-9680) в продуктах Mozilla с оценкой CVSS 9.8. В сочетании с уязвимостью Windows атака позволяла выполнять вредоносный код без каких-либо действий со стороны пользователя.
⚡️ Эксплуатация уязвимости происходила через фейковые сайты, автоматически загружающие вредоносный бэкдор на устройства жертв. Атаки были направлены на пользователей в Европе и Северной Америке в период октября-ноября 2024 года.
💥 Mozilla оперативно выпустила обновления безопасности для Firefox 131.0.2, Thunderbird 115.16 и Tor Browser 13.5.7. Microsoft также устранила связанную уязвимость в Windows, закрыв возможность выхода из песочницы браузера.
#уязвимость #браузер #безопасность #эксплойт
@ZerodayAlert
SecurityLab.ru
APT-атака комбинирует Zero-day и Zero-click в браузерах Firefox и Tor
Реальные атаки продемонстрировали уязвимости популярных продуктов.
🤯5😢4👍1👀1
Google устраняет 20-летнюю лазейку в Chrome
🧠 Компания Google устранила давнюю проблему Chrome, позволявшую отслеживать историю посещённых страниц. Уязвимость была связана с работой CSS-селектора «:visited», который менял цвет ссылок после перехода.
🔬 Исследователи годами демонстрировали атаки, использующие эту особенность, — от анализа пикселей до взаимодействий с DOM. Все они позволяли сайтам без разрешения определять, где пользователь уже побывал.
🛡 В Chrome 136 появится механизм «тройной изоляции» истории переходов. Он делает невозможным доступ к информации о посещённых ссылках за пределами контекста конкретного сайта.
Подобной изоляции пока нет ни в Firefox, ни в Safari. Google стал пионером архитектурной защиты истории просмотра.
#chrome #css #браузер #безопасность
@ZerodayAlert
🧠 Компания Google устранила давнюю проблему Chrome, позволявшую отслеживать историю посещённых страниц. Уязвимость была связана с работой CSS-селектора «:visited», который менял цвет ссылок после перехода.
🔬 Исследователи годами демонстрировали атаки, использующие эту особенность, — от анализа пикселей до взаимодействий с DOM. Все они позволяли сайтам без разрешения определять, где пользователь уже побывал.
🛡 В Chrome 136 появится механизм «тройной изоляции» истории переходов. Он делает невозможным доступ к информации о посещённых ссылках за пределами контекста конкретного сайта.
Подобной изоляции пока нет ни в Firefox, ни в Safari. Google стал пионером архитектурной защиты истории просмотра.
#chrome #css #браузер #безопасность
@ZerodayAlert
SecurityLab.ru
Цвет ссылок выдавал инфу о вас 20 лет. А вы думали — это просто дизайн?
Даже самые неловкие интересы были на виду у тех, кому вы их не показывали.
🔥8😁2🤡1
📉 Песочница под угрозой: 0day-брешь в Chrome нарушает главный принцип браузерной безопасности
🧱 Технология «песочницы» десятилетиями считалась краеугольным камнем безопасности браузеров. Но CVE-2025-6558 в Chrome нарушает этот принцип: злоумышленник может покинуть изолированную среду, просто подкинув вредоносный фрагмент в графический стек. Это не просто баг — это концептуальный удар по архитектуре безопасности браузера.
⚙️ Проекты вроде ANGLE выступают связующим звеном между веб-контентом и аппаратным обеспечением. И это тонкая прослойка, где одна ошибка — и вы уже не в браузере, а в ядре ОС. Такие уязвимости почти неотличимы от уязвимостей драйверов и при этом легко попадают в цепочки таргетированных атак.
📊 Мы наблюдаем тренд: уязвимости перемещаются ближе к аппаратному уровню, особенно в тех зонах, где разработчики привыкли полагаться на прослойки и абстракции. Защита «на верхах» уже не справляется. Нужно уделять внимание рендер-стекам, архитектуре драйверов и их взаимодействию с браузером как с системой, а не как с приложением.
#chrome #google #браузер #кибератаки
@ZerodayAlert
🧱 Технология «песочницы» десятилетиями считалась краеугольным камнем безопасности браузеров. Но CVE-2025-6558 в Chrome нарушает этот принцип: злоумышленник может покинуть изолированную среду, просто подкинув вредоносный фрагмент в графический стек. Это не просто баг — это концептуальный удар по архитектуре безопасности браузера.
⚙️ Проекты вроде ANGLE выступают связующим звеном между веб-контентом и аппаратным обеспечением. И это тонкая прослойка, где одна ошибка — и вы уже не в браузере, а в ядре ОС. Такие уязвимости почти неотличимы от уязвимостей драйверов и при этом легко попадают в цепочки таргетированных атак.
📊 Мы наблюдаем тренд: уязвимости перемещаются ближе к аппаратному уровню, особенно в тех зонах, где разработчики привыкли полагаться на прослойки и абстракции. Защита «на верхах» уже не справляется. Нужно уделять внимание рендер-стекам, архитектуре драйверов и их взаимодействию с браузером как с системой, а не как с приложением.
#chrome #google #браузер #кибератаки
@ZerodayAlert
SecurityLab.ru
Побег из песочницы: Google экстренно закрывает брешь в защите Chrome
Одно посещение заражённого сайта — и хакеры уже в вашей системе.
🤡3❤2😁2