Mildes monatliches Sicherheitsupdate von Firefox – aber trotzdem updaten

Es ist Zeit für das geplante Firefox-Update dieses Monats (technisch gesehen erhalten Sie mit 28 Tagen zwischen den Updates manchmal zwei Updates in einem Kalendermonat, aber Juli 2022 ist keiner dieser Monate)…

…und die gute Nachricht ist, dass die schlimmste Bugs aufgelistet, die eine Risikokategorie von erhalten GUTE, werden von Mozilla selbst mithilfe automatisierter Bug-Hunting-Tools gefunden und unter zwei Sammel-CVE-Nummern zusammengefasst:

• CVE-2022-36320: Speichersicherheit Fehler behoben im Firefox103.
• CVE-2022-2505: Speichersicherheit Fehler behoben in Firefox 103 und 102.1.

Der Grund dafür, dass diese Fehler in zwei Gruppen aufgeteilt werden, ist, dass Mozilla offiziell zwei Varianten seines Browsers unterstützt.

Es gibt die neueste und beste Version, derzeit 103, die alle neuesten Funktionen und relevanten Sicherheitsfixes enthält.

Und es gibt die Extended Support Release (ESR)-Variante, die alle paar Monate mit den Funktionen der neuesten Version synchronisiert wird, aber zwischendurch nur Sicherheitsupdates erhält und somit neue Funktionen erst einbringt, nachdem sie zum Ausprobieren verfügbar waren Mainstream-Version für einige Zeit.

Wie Sie sich vorstellen können, mögen Systemadministratoren und IT-Teams, die Firefox bei der Arbeit unterstützen, häufig ESRs, weil sie so ihren eigenen Benutzern keine neuen Funktionen aufzwingen müssen (oder die unvermeidlichen Support-Anrufe wegen neuer Menüoptionen, anderer Symbole und geändertem Verhalten entgegennehmen müssen). ) ohne gute Vorwarnung.

In der Mainstream-Firefox-Version sind fast immer mindestens ein paar Fehler behoben, die nicht im ESR erscheinen und daher dort nicht behoben werden können, da die Fehler neu sind und in den neuen Code eingeführt wurden, der zur Unterstützung der neuen Funktionen hinzugefügt wurde .

Dies ist ein weiterer Grund dafür, dass einige Systemadministratoren Software im ESR-Stil mögen, da der Code in diesen Versionen im Allgemeinen länger einer realen Überprüfung ausgesetzt war, ohne bei Sicherheitspatches hinterherzuhinken.

Tatsächlich behält Mozilla zwei ESR-Versionen bei, sodass Sie die vorherige und die aktuelle ESR-Version gleichzeitig ausprobieren können, bevor Sie den Wechsel vornehmen, und somit niemals die neueste Version in Ihrem Produktionsnetzwerk verwenden müssen. (Unten finden Sie die neuesten Versionsnummern aller derzeit unterstützten Versionen.)

Irreführung Ihrer Klicks

Von den anderen sechs Fehlern auf der Patch-Liste halten wir zwei für faszinierend und wichtig, da beide Angreifern die Möglichkeit geben, Sie dazu zu bringen, auf etwas zu klicken, das nicht das ist, was es zu sein scheint:

• CVE-2022-36319: Spoofing der Mausposition mit CSS-Transformationen. Einfach ausgedrückt bedeutet dieser Fehler, dass eine mit Sprengfallen versehene Website Ihren Mauszeiger positioniert lassen könnte an der falschen Stelle im Browserfenster, sodass das Klicken mit der Maus nicht dort registriert wird, wo Sie es erwarten. Dieser Trick ist allgemein bekannt als Clickjacking, bei dem ein Betrüger Sie glauben macht, dass Sie an einen sicheren Ort klicken, obwohl Sie tatsächlich auf einen Link oder eine Schaltfläche klicken, die Sie absichtlich vermieden hätten, wenn Sie es nur gewusst hätten. In seiner einfachsten Form kann Clickjacking gefälschte Social-Media-Likes oder unerwünschte Anzeigenimpressionen erzeugen. Im schlimmsten Fall kann es Sie durch Phishing-Angriffe oder gefälschte Downloads, die nicht offensichtlich sind, direkt in Gefahr bringen, selbst wenn Sie darauf achten.
• CVE-2022-36314: Lokal öffnen .lnk Dateien verursachen könnten unerwartete Netzwerklasten. LNK Dateien Windows-Verknüpfungen, die ein Ganzes sind Dose Sicherheitswürmer in ihrem eigenen Recht. (EIN .LNK Datei kann Sie heimlich zu einer Datei vom Typ X umleiten, wie z .EXE, während es sich mit einem Symbol vom Typ Y präsentiert, wie z .PDF.) In diesem Fall ein Weblink, der eine lokale .LNK Datei, könnte Sie, wenn Sie darauf klicken, stattdessen zu einer Datei umleiten, die irgendwo im Netzwerk gespeichert ist. Obwohl es keinen Hinweis darauf gibt, dass die auf diese Weise abgerufenen Daten für die Ausführung von Remote-Code verwendet werden könnten (mit anderen Worten, um nicht autorisierte Änderungen vorzunehmen, einschließlich des Einschleusens von Malware), könnten Sie leicht dazu verleitet werden, Remote-Inhalten zu vertrauen, wenn Sie den falschen Eindruck haben, dass es sich um lokale Daten handelt . Jede Netzwerkanforderung leckt einige Informationen an die Person, die den Server am anderen Ende betreibt, daher ist es wichtig, dass Ihr Browser Ihnen eine genaue Vorstellung davon gibt, wohin Sie jeder angeklickte Link führt.

ERFAHREN SIE MEHR ÜBER VERKNÜPFUNGEN UND MALWARE

Was ist zu tun?

Gehen Sie wie gewohnt zu Hilfe > Über Firefox und sehen Sie, ob das Popup-Fenster Ihnen sagt Firefox is up to date oder bietet Ihnen eine anklickbare Schaltfläche beschriftet [Update to X].

Dieses Mal ist die Version, nach der Sie suchen 103.0 (Wenn Sie die verwenden Mainstream-Version), ESR 102.1 (wenn du auf dem bist neueste ESR-Version), oder ESR 91.12 (wenn du auf dem bist ältestes ESR-Geschmack).

Wie wir bereits erklärt haben, aber denken Sie, dass es noch einmal erwähnenswert ist, addieren sich die beiden Zahlen in den ESR-Release-IDs, um die Mainstream-Release zu bezeichnen, mit der sie in Bezug auf Sicherheitsupdates übereinstimmen.

Also, vorausgesetzt, die aktuelle Mainstream-Version ist 103, können Sie schnell als sagen 102.1 ESR (102+1 = 103) und 91.12 ESR (91+12 = 103) sind die neuesten Veröffentlichungen in ihren jeweiligen Linien.