|
Mozilla本周在Firefox 76的稳定版中发布了更新的密码管理器,发布针对违反密码的警报以及针对11个漏洞的补丁程序。从新版本开始,该浏览器将帮助用户更好地保持帐户安全,并借助新的Firefox Lockwise密码管理器轻松生成强密码。在共享设备上,此功能通过在提示用户输入其帐户密码之前使用户可用保存的登录名,从而确保密码安全,凭据只能在五分钟内使用。浏览器制造商解释说,Lockwise仪表板由Firefox Monitor提供支持,当用户的凭据属于数据泄露的一部分时,该监视器将向用户发出警报。当用户使用的密码之一与被泄露的密码相同时,并且用户名和密码属于违规行为时,Firefox也会向用户发出警报。 
Mozilla官方解释,Firefox不知道您的实际密码,也就是不会看到你的明文密码。新功能会根据违规的网站信息自动检查您的加密密码列表,帮助用户掌握可能已经受到破坏的在线帐户。用户现在可以利用Firefox Lockwise生成最少12个随机字母,数字和符号的密码,这一点和我在做等保测评过程中,建议客户设置的密码复杂度和长度是一致的,我在做等保测评过程中,建议客户采用12位以上的复杂密码,同时也接受遵循客户和众多测评师的约定成俗的8位复杂密码。Mozilla使Firefox Lockwise可用于iOS和Android,允许用户在旅途中访问密码并轻松同步其登录名。本次更新,Firefox 76还提供了针对11个漏洞的补丁,其中包括三个评估为严重等级的漏洞。第一个严重的错误编号为CVE-2020-12387,可能导致程序崩溃;第二个是沙盒逃逸(CVE-2020-12388),仅影响Windows系统下的Firefox;第三个(CVE-2020-12395)涉及Firefox 75和Firefox ESR 68.7中的内存安全错误。新的浏览器版本修补三个严重性较高的问题(CVE-2020-12389-沙箱转义;CVE-2020-6831-缓冲区溢出;CVE-2020-12396-内存安全错误),四个中等风险的错误(CVE-2020- 12390-错误的序列化;CVE-2020-12391-内容安全策略绕过;CVE-2020-12392-任意本地文件访问;CVE-2020-12393-潜在的命令注入),以及一个低严重性问题(CVE-2020- 12394-网址不集中时,URL欺骗。本周,谷歌也发布了其Chrome浏览器的更新,以解决三个漏洞,其中包括外部研究人员报告的两个漏洞。这两个错误都是严重性高的问题:CVE-2020-6831-SCTP中的堆栈缓冲区溢出,以及CVE-2020-6464-Blink中的类型混淆。
|
