Det er tid til denne måneds planlagte Firefox-opdatering (teknisk, med 28 dage mellem opdateringer, får du nogle gange to opdateringer på en kalendermåned, men juli 2022 er ikke en af disse måneder)...
…og den gode nyhed er, at værste fejl på listen, som får en risikokategori på Høj, er dem, der er fundet af Mozilla selv ved hjælp af automatiserede fejljagtværktøjer, og samlet under to catchall CVE-numre:
- CVE-2022-36320: Hukommelsessikkerhed fejl rettet i Firefox 103.
- CVE-2022-2505: Hukommelsessikkerhed fejl rettet i Firefox 103 og 102.1.
Grunden til, at disse fejl er opdelt i to grupper, er, at Mozilla officielt understøtter to varianter af sin browser.
Der er den nyeste og bedste version, i øjeblikket 103, som har alle de nyeste funktioner og relevante sikkerhedsrettelser.
Og der er smagen Extended Support Release (ESR), som synkroniseres med funktionerne i den seneste version med få måneders mellemrum, men ind i mellem kun får sikkerhedsopdateringer, og derved først bringer nye funktioner ind, efter at de har været tilgængelige til at prøve i mainstream-version i nogen tid.
Som du kan forestille dig, kan sysadmins og it-teams, der understøtter Firefox på arbejdspladsen, ofte lide ESR'er, fordi det betyder, at de ikke behøver at påtvinge deres egne brugere nye funktioner (eller tage de uundgåelige supportopkald om nye menuindstillinger, forskellige ikoner og ændret adfærd ) uden god advarsel.
Der er næsten altid mindst et par fejl rettet i mainstream Firefox-versionen, som ikke vises i ESR, og som derfor ikke kan rettes der, fordi fejlene er nye, introduceret i den nye kode tilføjet for at understøtte de nye funktioner .
Dette er en anden grund til, at nogle systemadministratorer kan lide software i ESR-stil, eftersom koden i disse versioner har været gensidigt udsat for undersøgelse i det virkelige liv i længere tid, uden at halte bagefter med sikkerhedsrettelser.
Faktisk beholder Mozilla to ESR-versioner, så du kan prøve den tidligere og den nuværende ESR-version på samme tid, før du skifter, og dermed aldrig behøver at bruge den avancerede version i dit produktionsnetværk overhovedet. (Se nedenfor for de seneste versionsnumre for alle aktuelt understøttede versioner.)
Vildledende dine klik
Af de andre seks fejl på patchlisten synes vi, at to er spændende og vigtige, fordi de begge giver angribere en chance for at narre dig til at klikke på noget, der ikke er, hvad det ser ud til:
- CVE-2022-36319: Musepositionsspoofing med CSS-transformationer. Enkelt sagt betyder denne fejl, at et websted, der er fanget i booby-fanget, kan efterlade din musemarkør placeret på det forkerte sted i browservinduet, så et klik med musen ikke registrerer, hvor du forventer. Dette trick er generelt kendt som clickjacking, hvor en svindler får dig til at tro, at du klikker et sikkert sted, mens du faktisk klikker på et link eller en knap, du bevidst ville have undgået, hvis bare du vidste det. I sin enkleste form kan clickjacking skabe falske sociale medier-likes eller uønskede annoncevisninger. I værste fald kan det føre dig direkte til skade fra phishing-angreb eller falske downloads, der ikke er indlysende, selvom du holder øje med dem.
- CVE-2022-36314: Åbner lokalt
.lnkfiler kan forårsage uventede netværksbelastninger.LNKfiler er Windows-genveje, som er en helhed dåse med sikkerhedsorme i deres egen ret. (EN.LNKfil kan snigende omdirigere dig til en fil af type X, som f.eks.EXE, mens de præsenterer sig selv med et ikon af type Y, som f.eks.PDF.) I dette tilfælde et weblink, der specificerede en lokal .LNKfil, kunne, hvis der klikkes på den, omdirigere dig til en fil, der er gemt et sted på netværket i stedet. Selvom der ikke er noget forslag om, at de data, der hentes på denne måde, kan bruges til fjernudførelse af kode (med andre ord til at foretage uautoriserede ændringer, herunder implantering af malware), kan du nemt blive narret til at stole på fjernindhold under det fejlagtige indtryk, at det var lokale data . Enhver netværksanmodning lækker nogle oplysninger til den person, der kører serveren i den anden ende, så det er vigtigt for din browser at give dig en præcis idé om, hvor hvert link, du klikker på, fører dig hen.
LÆR MERE OM GENVEJE OG MALWARE
Hvad skal jeg gøre?
Som sædvanlig, gå til Hjælp > Om Firefox og se, om pop op-boksen fortæller dig Firefox is up to date eller tilbyder dig en klikbar knap mærket [Update to X].
Denne gang er den version, du leder efter 103.0 (hvis du bruger mainstream version), ESR 102.1 (hvis du er på seneste ESR-version), eller ESR 91.12 (hvis du er på ældste ESR-smag).
Som vi har forklaret før, men synes det er værd at nævne igen, lægges de to tal i ESR-udgivelses-id'erne sammen for at angive den almindelige udgivelse, som de matcher med hensyn til sikkerhedsopdateringer.
Så i betragtning af at den nuværende mainstream-version er 103, kan du hurtigt fortælle end 102.1 ESR (102+1 = 103) og 91.12 ESR (91+12 = 103) er de seneste udgivelser i deres respektive slægter.
- blockchain
- clickjacking
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- Firefox
- firewall
- Kaspersky
- malware
- Mcafee
- Mozilla
- Naked Security
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VPN
- sårbarhed
- website sikkerhed
- zephyrnet
![S3 Ep111: Forretningsrisikoen ved et snusket "nøgenhedsfilter" [Audio + Tekst] PlatoBlockchain Data Intelligence. Lodret søgning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111: Forretningsrisikoen ved et snusket \"nøgenhedsfilter\" [Lyd + tekst]")
![S3 Ep93: Kontorsikkerhed, brudomkostninger og afslappede patches [Audio + Tekst] PlatoBlockchain Data Intelligence. Lodret søgning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/s3-ep93-1200-300x157.png "S3 Ep93: Kontorsikkerhed, brudomkostninger og afslappede programrettelser [Lyd + tekst]")
