要闻

当前位置/ 首页/ 要闻/ 正文

Mozilla在Firefox 49中告别Firefox Hello

导读 2014年10月,作为Firefox 34 beta 版的一部分,Mozilla引入了Firefox Hello通信技术,使用户可以直接从浏览器拨打电话。2016年9月2

2014年10月,作为Firefox 34 beta 版的一部分,Mozilla引入了Firefox Hello通信技术,使用户可以直接从浏览器拨打电话。2016年9月20日,作为新版Firefox 49的一部分,Mozilla正式删除了对Firefox Hello的支持。

用于删除Firefox Hello 的Mozilla Bugzilla 条目对于为什么从开放源代码浏览器中提取通信功能一无所知。事实证明,Firefox Hello删除与Mozilla的优先级转移有关。

Mozilla发言人对eWEEK表示: “我们在2014年的最初愿景是让Firefox Hello成为在网络上共享和协作的工具。” “自那时以来,我们的工程重点已经转移,结果,我们将资源重新集中到了更高优先级的计划上。”

除了删除Firefox Hello外,新的Firefox 49版本还值得注意,因为它修补了18个漏洞,其中4个被Mozilla评为严重。评级为严重的四个漏洞包括CVE-2016-5275,全局缓冲区溢出;CVE-2016-5278,堆缓冲区溢出;以及识别为CVE-2016-5256和CVE-2016-5257的一对内存安全漏洞。

尽管Mozilla对CVE-2016-5284的评价不为“关键”,但出于几个原因,它值得注意。CVE-2016-5284是HTTPS证书固定漏洞,该漏洞于9月13日首次公开报告为Tor浏览器中的一个漏洞。基于Firefox的Tor浏览器为用户提供了集成功能,可通过Tor网络发送流量以匿名化流量。

“由于该过程中存在缺陷,我们曾经在我们的发行版中更新了预加载的公钥固定,从2016年9月10日开始,附加更新的固定对于Firefox 48版本和9月3日的ESR 45.3.0无效, 2016年,”赛琳娜Deckelmann,高级管理人员,安全工程,在Mozilla的在博客中写道岗位。“从那时起,能够为Mozilla网站获得错误签发的证书的攻击者可能会导致他们控制的网络上的任何用户收到针对其安装的附件的恶意更新。”

公钥固定是一种安全机制,于2014年在Firefox 32中首次亮相。当时,Mozilla向eWEEK解释说,密钥固定使站点运营商可以指定哪些证书颁发机构[CA]可以为其颁发有效证书,而不是接受任何许多受信任的CA。

Deckelmann指出,对于尚未安装任何加载项的Firefox用户,Firefox 49中已解决的关键固定问题没有任何风险。也就是说,Tor浏览器默认情况下具有多个加载项,并且该用户浏览器可能会受到威胁。Tor项目于9月16日发布了该漏洞的更新。