تحديث أمان شهري معتدل من Firefox - ولكن التحديث على أي حال

حان الوقت لتحديث Firefox المجدول لهذا الشهر (تقنيًا ، مع 28 يومًا بين التحديثات ، تحصل أحيانًا على تحديثين في شهر تقويمي واحد ، لكن يوليو 2022 ليس أحد تلك الأشهر) ...

... والخبر السار هو أن تم سرد أسوأ الأخطاء، والتي تحصل على فئة مخاطر مرتفع، هي تلك التي عثرت عليها Mozilla نفسها باستخدام أدوات صيد الأخطاء الآلية ، وتم تجميعها معًا تحت رقمين جامعيين من CVE:

• CVE-2022-36320: سلامة الذاكرة إصلاح الأخطاء في Firefox 103.
• CVE-2022-2505: سلامة الذاكرة إصلاح الأخطاء في Firefox 103 و 102.1.

السبب في تقسيم هذه الأخطاء إلى مجموعتين هو أن Mozilla تدعم رسميًا نسختين من متصفحها.

يوجد أحدث إصدار ، حاليًا 103 ، يحتوي على أحدث الميزات وإصلاحات الأمان ذات الصلة.

وهناك نكهة إصدار الدعم الممتد (ESR) ، والتي تتزامن مع الميزات الموجودة في الإصدار الأخير كل بضعة أشهر ، ولكن فيما بينها تحصل على تحديثات الأمان فقط ، وبالتالي لا تجلب ميزات جديدة إلا بعد توفرها للتجربة في الإصدار السائد لبعض الوقت.

كما يمكنك أن تتخيل ، غالبًا ما يحب مسؤولو النظام وفرق تكنولوجيا المعلومات الذين يدعمون Firefox في العمل ESRs لأنه يعني أنه لا يتعين عليهم فرض ميزات جديدة على مستخدميهم (أو تلقي مكالمات الدعم التي لا مفر منها حول خيارات القائمة الجديدة والأيقونات المختلفة والسلوك المعدل ) دون سابق إنذار.

يوجد دائمًا على الأقل عدد قليل من الأخطاء التي تم إصلاحها في إصدار Firefox السائد والتي لا تظهر في ESR ، وبالتالي لا يمكن إصلاحها هناك ، لأن الأخطاء جديدة ، تم تقديمها في الكود الجديد الذي تمت إضافته لدعم الميزات الجديدة .

وهذا سبب آخر يجعل بعض مسؤولي النظام مثل برامج نمط ESR ، نظرًا لأن الشفرة في تلك الإصدارات قد تعرضت بالفعل للتدقيق في الحياة الواقعية لفترة أطول ، دون التخلف عن تصحيحات الأمان.

في الواقع ، تحتفظ Mozilla بإصدارين من ESR ، بحيث يمكنك تجربة الإصدارات السابقة والحالية من ESR في نفس الوقت قبل إجراء التبديل ، وبالتالي لا تحتاج أبدًا إلى استخدام الإصدار المتطور لشبكة الإنتاج الخاصة بنا على الإطلاق. (انظر أدناه للحصول على أحدث أرقام الإصدارات لجميع الإصدارات المدعومة حاليًا.)

تضليل نقراتك

من بين الأخطاء الستة الأخرى في قائمة التصحيح ، نعتقد أن اثنتين منها مثيرة للاهتمام ومهمة ، لأن كلاهما يمنح المهاجمين فرصة لخداعك للنقر فوق شيء ليس كما يبدو:

• CVE-2022-36319: انتحال موضع الماوس باستخدام تحويلات CSS. ببساطة ، يعني هذا الخطأ أن موقع الويب المفخخ قد يترك مؤشر الماوس في موضعه في المكان الخطأ في نافذة المتصفح ، حتى لا يتم تسجيل النقر بالماوس في المكان الذي تتوقعه. تُعرف هذه الحيلة عمومًا باسم clickjacking، حيث يجعلك المخادع تعتقد أنك تنقر في مكان آمن ، في حين أنك في الواقع تنقر على رابط أو زر كنت ستتجنبه عمدًا إذا كنت تعرف ذلك فقط. في أبسط أشكالها ، يمكن لـ clickjacking أن يصمم إعجابات وهمية لوسائل التواصل الاجتماعي أو مرات ظهور إعلانات غير مرغوب فيها. في أسوأ الأحوال ، يمكن أن يؤدي بك مباشرة إلى الأذى من هجمات التصيد أو التنزيلات المزيفة غير الواضحة ، حتى لو كنت تبحث عنها.
• CVE-2022-36314: افتتاح محلي .lnk يمكن أن تسبب الملفات أحمال شبكة غير متوقعة. LNK الملفات اختصارات Windows، وهي كلها علبة من الديدان الأمنية في حد ذاتها. (أ .LNK يمكن للملف إعادة توجيهك بشكل خفي إلى ملف من النوع X ، مثل .EXE، أثناء تقديم نفسه بأيقونة من النوع Y ، مثل .PDF.) في هذه الحالة ، رابط ويب يحدد ملفًا محليًا.LNK الملف ، إذا تم النقر عليه ، يعيد توجيهك إلى ملف مخزن في مكان ما على الشبكة بدلاً من ذلك. على الرغم من عدم وجود ما يشير إلى إمكانية استخدام البيانات التي يتم جلبها بهذه الطريقة لتنفيذ التعليمات البرمجية عن بُعد (بمعنى آخر ، لإجراء تغييرات غير مصرح بها ، بما في ذلك زرع البرامج الضارة) ، فقد يتم خداعك بسهولة للوثوق في المحتوى البعيد تحت الانطباع الخاطئ بأنه بيانات محلية . أي طلب شبكة تسريبات بعض معلومات إلى الشخص الذي يقوم بتشغيل الخادم في الطرف الآخر ، لذلك من المهم أن يمنحك متصفحك فكرة دقيقة عن المكان الذي سيأخذك إليه كل رابط تنقر عليه.

تعرف على المزيد حول الاختصارات والبرامج الضارة

ماذا ستفعلين.. إذًا؟

كالعادة ، اذهب إلى المساعدة > حول فايرفوكس ومعرفة ما إذا كان المربع المنبثق يخبرك Firefox is up to date أو يقدم لك زرًا قابلًا للنقر عليه [Update to X].

هذه المرة ، الإصدار الذي تبحث عنه هو 103.0 (إذا كنت تستخدم ملف النسخة السائدة), 102.1 ESR (إذا كنت تستخدم ملف أحدث إصدار ESR)، أو 91.12 ESR (إذا كنت تستخدم ملف أقدم نكهة ESR).

كما أوضحنا من قبل ، ولكن أعتقد أنه من الجدير بالذكر مرة أخرى ، فإن الرقمين في معرفات إصدار ESR يضافان معًا للإشارة إلى الإصدار السائد الذي يتطابقان معه من حيث التحديثات الأمنية.

لذلك ، بالنظر إلى أن الإصدار السائد الحالي هو 103، يمكنك أن تقول بسرعة من 102.1 إسر (102 + 1 = 103) و 91.12 إسر (91 + 12 = 103) هي أحدث الإصدارات في سلالتها.