Seneste opdateringer til Apple Safari , Google Chrome skabte store overskrifter, fordi de fiksede mystiske zero-day bedrifter, der allerede blev brugt i naturen.
Men denne uge så også den seneste fire-ugers Firefox-opdatering, som faldt som sædvanligt tirsdag, fire uger efter den sidste planlagte udgivelse med fuld versionsnummer-increment.
Vi har ikke skrevet om denne opdatering før nu, fordi den gode nyhed er...
… det selvom der var et par spændende og vigtige rettelser med et niveau på Høj, der var ikke nogen nul-dage eller endda nogen Kritisk fejl i denne måned.
Hukommelsessikkerhedsfejl
Som sædvanligt tildelte Mozilla-holdet to overordnede CVE-tal til fejl, som de har fundet og rettet ved hjælp af proaktive teknikker såsom fuzzing, hvor buggy-kode automatisk undersøges for fejl, dokumenteres og rettes uden at vente på, at nogen finder ud af, hvor udnyttelige disse fejl kan være:
- CVE-2022-38477 dækker fejl, der kun påvirker Firefox builds baseret på koden for version 102 og nyere, som er kodebasen, der bruges af hovedversionen, nu opdateret til 104.0, og den primære Extended Support Release-version, som er nu ESR 102.2.
- CVE-2022-38478 dækker yderligere fejl, der findes i Firefox-koden, der går tilbage til version 91, fordi det er grundlaget for den sekundære Extended Support Release, som nu står på ESR 91.13.
Som sædvanlig er Mozilla almindeligt nok til at sige, at:
Nogle af disse fejl viste tegn på hukommelseskorruption, og vi antager, at nogle af disse med tilstrækkelig indsats kunne være blevet udnyttet til at køre vilkårlig kode.
ESR afmystificeret
Som vi har forklaret før, Firefox Extended Support Release er rettet mod konservative hjemmebrugere og til virksomhedsadministratorer, der foretrækker at udsætte funktionsopdateringer og funktionalitetsændringer, så længe de ikke går glip af sikkerhedsopdateringer ved at gøre det.
ESR-versionsnumrene kombineres for at fortælle dig, hvilket funktionssæt du har, plus hvor mange sikkerhedsopdateringer der har været siden den version kom ud.
Så for ESR 102.2, har vi 102+2 = 104 (den nuværende avancerede version).
Tilsvarende for ESR 91.13, vi har 91+13 = 104, for at gøre det klart, at selvom version 91 stadig er tilbage på funktionssættet fra omkring et år siden, er det up-to-the-moment, hvad angår sikkerhedsrettelser.
Grunden til, at der er to ESR'er til enhver tid, er for at give en betydelig dobbelt-up-periode mellem versioner, så du aldrig hænger sammen med at tage nye funktioner på bare for at få sikkerhedsrettelser - der er altid et overlap, hvor du kan fortsætte med at bruge den gamle ESR mens du prøver den nye ESR for at blive klar til den nødvendige omstilling i fremtiden.
Tillids-spoofing-fejl
De to specifikke og tilsyneladende relaterede sårbarheder, der lavede Høj kategori denne måned var:
- CVE-2022-38472: Adresselinje-spoofing via XSLT-fejlhåndtering.
- CVE-2022-38473: Cross-origin XSLT Documents ville have arvet forældrenes tilladelser.
Som du kan forestille dig, betyder disse fejl, at useriøst indhold hentet fra et ellers uskyldigt udseende websted kan ende med, at Firefox narrer dig til at stole på websider, som du ikke burde.
I den første fejl kunne Firefox lokkes til at præsentere indhold serveret fra et ukendt og ikke-pålideligt websted, som om det kom fra en URL, der var hostet på en server, som du allerede kendte og havde tillid til.
I den anden fejl vises webindhold fra et ikke-pålideligt websted X i et undervindue (en IFRAME, forkortelse for inline ramme) på et pålideligt websted Y...
… kunne ende med sikkerhedstilladelser "lånt" fra forældrevindue Y, som du ikke ville forvente at blive videregivet (og som du ikke bevidst ville give) til X, inklusive adgang til dit webcam og mikrofon.
Hvad skal jeg gøre?
På stationære eller bærbare computere skal du gå til Hjælp > Om Firefox for at tjekke, om du er opdateret.
Hvis ikke, Om vinduet vil bede dig om at downloade og aktivere den nødvendige opdatering – du leder efter 104.0 eller ESR 102.2 eller ESR 91.13, alt efter hvilken udgivelsesserie du er på.
På din mobiltelefon, tjek med Google Play eller Apple App Store for at sikre, at du har den nyeste version.
På Linux og BSD'er, hvis du stoler på den version af Firefox, der er pakket af din distribution, skal du kontakte din distro-producent for den seneste version, de har udgivet.
Glad patchning!
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- Firefox
- firewall
- Kaspersky
- malware
- Mcafee
- Mozilla
- Naked Security
- Nexbloc
- patch
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VPN
- sårbarhed
- website sikkerhed
- zephyrnet
![S3 Ep130: Åbn garagedørene, HAL [Lyd + tekst]](https://platoblockchain.com/wp-content/uploads/2023/04/s3-ep130-open-the-garage-bay-doors-hal-audio-text-300x157.png "S3 Ep130: Åbn garagedørene, HAL [Lyd + tekst]")
![S3 Ep114: Preventing cyberthreats – stop them before they stop you! [Audio + Text] PlatoBlockchain Data Intelligence. Vertical Search. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/ns-1200-generic-featured-image-blue-digits-360x188.png "S3 Ep114: Forebyggelse af cybertrusler – stop dem, før de stopper dig! [Lyd + tekst]")
