2022年04月05日
Thunderbird 是 Mozilla 集团旗下的开源系统电子邮件手机客户端,在过去的好多个月里,通过代码优化以后的版本一直阿依莲文字方式储存一些用户的 OpenPGP 密钥。
该系统漏洞的跟踪编码为 CVE-2021-29956,存有于 78.8.1 到 78.10.1 版本中。非常值得高兴的是,Mozilla 现阶段已在 78.10.2 版本中修补了该系统漏洞。
这一不正确是在几个星期很迟发觉的,那时候该企业 E2EE 邮件列表中的一个用户注意到,她们可以在不用键入主登陆密码的情形
2022年04月05日
Mozilla一直在模糊Firefox其底部组件已被证明是识别质量和安全漏洞的最有效方法之一。通常,研究人员会在不同层次上使用模糊测试:浏览器作为一个整体进行模糊测试,但也需要很多时间来使用孤立的代码(例如libFuzzer)或者整个组件(例如使用单个外壳)JS引擎)进行模糊测试。在本文中,研究人员只负责解释浏览器的模糊漏洞,并详细介绍他们已经找到的方法。构建工具为了尽可能有效,研究人员使用了各种漏洞检测方法。这些包括清除器,如清除器AddressSanitizer(带有LeakSanitize
2022年04月05日
Mozilla 很高兴宣布,Firefox 90 版本将支持基于“元数据要求标头” 的获取功能Web 应用程序可以保护自己和用户免受各种跨源威胁。据报道,这种威胁涵盖了跨站点请求伪造(CSRF)、跨站点泄露(XS-Leaks)、投机性跨站点执行侧信道(Spectre)攻击。(图自:Mozilla Blog)其实跨站攻击背后涉及 Web 的基本安全问题。由于开放性,很难允许 Web 服务器端严格区分其应用程序(浏览器选项卡)或恶意(跨站点)应用程序的请求。如上图所示,假