تم إيقاف Firefox 104 - لا توجد أخطاء فادحة ، ولكن قم بالتحديث على أي حال

التحديثات الأخيرة لـ أبل سفاري و جوجل كروم تصدرت عناوين الصحف الكبيرة لأنها أصلحت مآثر غامضة في يوم الصفر كانت مستخدمة بالفعل في البرية.

ولكن هذا الأسبوع شهد أيضًا آخر تحديث لمتصفح Firefox كل أربعة أسابيع ، والذي انخفض كالمعتاد يوم الثلاثاء ، بعد أربعة أسابيع من آخر إصدار مجدول لزيادة رقم الإصدار الكامل.

لم نكتب عن هذا التحديث حتى الآن لأنه ، حسنًا ، لأن الخبر السار هو ...

... أنه على الرغم من وجود بعض الإصلاحات المهمة والمثيرة للاهتمام بمستوى مرتفع، لم يكن هناك أي أيام صفرية ، أو حتى أي يوم حرج البق هذا الشهر.

خلل في سلامة الذاكرة

كالعادة ، قام فريق Mozilla بتعيين اثنين الأرقام الشاملة لمكافحة التطرف العنيف للأخطاء التي اكتشفوها وأصلحوها باستخدام تقنيات استباقية مثل الغموض ، حيث يتم تلقائيًا فحص رمز عربات التي تجرها الدواب بحثًا عن العيوب وتوثيقها وتصحيحها دون انتظار أن يكتشف شخص ما مدى إمكانية استغلال هذه الأخطاء:

• CVE-2022-38477 يغطي الأخطاء التي تؤثر فقط على إصدارات Firefox بناءً على كود الإصدار 102 والإصدارات الأحدث ، وهي قاعدة الكود المستخدمة في الإصدار الرئيسي ، والتي تم تحديثها الآن إلى 104.0، وإصدار إصدار الدعم الموسع الأساسي ، وهو الآن 102.2 ESR.
• CVE-2022-38478 يغطي الأخطاء الإضافية الموجودة في كود Firefox الذي يعود إلى الإصدار 91 ، لأن هذا هو أساس إصدار الدعم الموسع الثانوي ، والذي يقف الآن عند 91.13 ESR.

كالعادة ، فإن Mozilla تتحدث بوضوح بما يكفي لإصدار التصريح البسيط بأن:

أظهرت بعض هذه الأخطاء دليلًا على تلف الذاكرة ونفترض أنه بجهد كافٍ ، كان من الممكن استغلال بعض هذه الأخطاء لتشغيل تعليمات برمجية عشوائية.

إزالة الغموض عن ESR

كما أوضحنا من قبل ، فايرفوكس تمديد دعم الإصدار يستهدف المستخدمين المنزليين المحافظين ومسؤولي نظام الشركات الذين يفضلون تأخير تحديثات الميزات وتغييرات الوظائف ، طالما أنهم لا يفوتون تحديثات الأمان من خلال القيام بذلك.

تتحد أرقام إصدارات ESR لتخبرك بمجموعة الميزات التي لديك ، بالإضافة إلى عدد تحديثات الأمان التي حدثت منذ ظهور هذا الإصدار.

وذلك ل 102.2 ESR، لدينا 102 + 2 = 104 (النسخة المتطورة الحالية).

وبالمثل، ل 91.13 ESR، لدينا 91 + 13 = 104 ، لتوضيح أنه على الرغم من أن الإصدار 91 لا يزال موجودًا في الميزة التي تم تعيينها منذ حوالي عام ، إلا أنه حديث فيما يتعلق بالتصحيحات الأمنية.

السبب في وجود اثنين من ESRs في أي وقت هو توفير فترة مضاعفة كبيرة بين الإصدارات ، لذلك لن تتعثر أبدًا في الحصول على ميزات جديدة لمجرد الحصول على إصلاحات الأمان - هناك دائمًا تداخل يمكنك خلاله الاستمرار في استخدام ESR القديم أثناء تجربة ESR الجديد للاستعداد للتحول الضروري في المستقبل.

ثغرات الثقة

اثنين من نقاط الضعف المحددة والمتعلقة على ما يبدو قدم مرتفع الفئة هذا الشهر كان:

• CVE-2022-38472: انتحال شريط العنوان عبر معالجة خطأ XSLT.
• CVE-2022-38473: قد ترث مستندات XSLT عبر الأصل أذونات الأصل.

كما يمكنك أن تتخيل ، فإن هذه الأخطاء تعني أن المحتوى المارق الذي يتم جلبه من موقع يبدو بريئًا قد ينتهي به الأمر إلى أن يخدعك Firefox بالثقة في صفحات الويب التي لا يجب عليك القيام بها.

في الخطأ الأول ، يمكن إغراء Firefox بتقديم محتوى يتم تقديمه من موقع غير معروف وغير موثوق به كما لو كان قد جاء من عنوان URL مستضاف على خادم تعرفه بالفعل وتثق به.

في الخطأ الثاني ، يظهر محتوى الويب من موقع غير موثوق به X في نافذة فرعية (ملف IFRAME، باختصار ل إطار مضمّن) داخل موقع موثوق به Y…

... قد ينتهي الأمر بأذونات أمان "مستعارة" من النافذة الرئيسية Y والتي لا تتوقع أن يتم تمريرها (والتي لن تمنحها عن قصد) إلى X ، بما في ذلك الوصول إلى كاميرا الويب والميكروفون.

ماذا ستفعلين.. إذًا؟

على أجهزة الكمبيوتر المكتبية أو المحمولة ، انتقل إلى المساعدة > حول فايرفوكس للتحقق مما إذا كنت محدثًا.

إذا لم يكن كذلك ، فإن من نحن ستطالبك النافذة بتنزيل التحديث المطلوب وتنشيطه - الذي تبحث عنه 104.0الطرق أو 102.2 ESRالطرق أو 91.13 ESR، اعتمادًا على سلسلة الإصدارات التي تعمل عليها.

على هاتفك المحمول ، تحقق من Google Play أو ال المتجر أبل للتأكد من حصولك على أحدث إصدار.

في نظام التشغيل Linux و BSD ، إذا كنت تعتمد على إصدار Firefox الذي تم تعبئته بواسطة التوزيع الخاص بك ، فتحقق من صانع التوزيعة للحصول على أحدث إصدار تم نشره.

ترقيع سعيد!

---