Πρόσφατες ενημερώσεις σε Apple Safari και Google Chrome έγιναν μεγάλα πρωτοσέλιδα επειδή διόρθωσαν μυστηριώδη κατορθώματα μηδενικής ημέρας που ήδη χρησιμοποιούνταν στη φύση.
Αλλά αυτή την εβδομάδα είδαμε επίσης την τελευταία τετραεβδομαδιαία ενημέρωση του Firefox, η οποία έπεσε ως συνήθως την Τρίτη, τέσσερις εβδομάδες μετά την τελευταία προγραμματισμένη κυκλοφορία πλήρους έκδοσης-αριθμού-αύξησης.
Δεν έχουμε γράψει για αυτήν την ενημέρωση μέχρι τώρα γιατί, λοιπόν, επειδή τα καλά νέα είναι…
…ότι παρόλο που υπήρχαν μερικές ενδιαφέρουσες και σημαντικές διορθώσεις με ένα επίπεδο Ψηλά, δεν υπήρχαν μέρες μηδέν, ούτε καν καμία Κρίσιμος σφάλματα αυτόν τον μήνα.
Σφάλματα ασφάλειας μνήμης
Ως συνήθως, η ομάδα της Mozilla όρισε δύο γενικούς αριθμούς CVE σε σφάλματα που βρήκαν-και διόρθωσαν χρησιμοποιώντας προληπτικές τεχνικές όπως το fuzzing, όπου ο κώδικας buggy εξετάζεται αυτόματα για ελαττώματα, τεκμηριώνεται και διορθώνεται χωρίς να περιμένει κάποιος να καταλάβει πόσο εκμεταλλεύσιμα μπορεί να είναι αυτά τα σφάλματα:
- CVE-2022-38477 καλύπτει σφάλματα που επηρεάζουν μόνο τις εκδόσεις του Firefox με βάση τον κώδικα της έκδοσης 102 και νεότερης έκδοσης, που είναι η βάση κώδικα που χρησιμοποιείται από την κύρια έκδοση, η οποία έχει πλέον ενημερωθεί σε 104.0και την κύρια έκδοση Extended Support Release, η οποία είναι τώρα ESR 102.2.
- CVE-2022-38478 καλύπτει πρόσθετα σφάλματα που υπάρχουν στον κώδικα του Firefox που επιστρέφουν στην έκδοση 91, επειδή αυτή είναι η βάση της δευτερεύουσας Έκδοσης Εκτεταμένης Υποστήριξης, η οποία τώρα βρίσκεται στο ESR 91.13.
Ως συνήθως, το Mozilla μιλάει αρκετά απλά για να κάνει την απλή δήλωση ότι:
Ορισμένα από αυτά τα σφάλματα έδειξαν ενδείξεις καταστροφής της μνήμης και υποθέτουμε ότι με αρκετή προσπάθεια ορισμένα από αυτά θα μπορούσαν να είχαν εκμεταλλευτεί για την εκτέλεση αυθαίρετου κώδικα.
Το ΕΣΡ απομυθοποιήθηκε
Όπως έχουμε εξηγήσει πριν, Έκδοση εκτεταμένης υποστήριξης Firefox απευθύνεται σε συντηρητικούς οικιακούς χρήστες και σε εταιρικούς διαχειριστές συστήματος που προτιμούν να καθυστερούν τις ενημερώσεις λειτουργιών και τις αλλαγές λειτουργικότητας, εφόσον δεν χάνουν τις ενημερώσεις ασφαλείας με αυτόν τον τρόπο.
Οι αριθμοί έκδοσης ESR συνδυάζονται για να σας πουν το σύνολο δυνατοτήτων που έχετε, καθώς και πόσες ενημερώσεις ασφαλείας έχουν γίνει από τότε που κυκλοφόρησε αυτή η έκδοση.
Ετσι, για ESR 102.2, έχουμε 102+2 = 104 (η τρέχουσα έκδοση αιχμής).
Ομοίως, για ESR 91.13, έχουμε 91+13 = 104, για να καταστήσουμε σαφές ότι παρόλο που η έκδοση 91 είναι ακόμα πίσω στο σύνολο δυνατοτήτων πριν από περίπου ένα χρόνο, είναι επίκαιρη όσον αφορά τις ενημερώσεις κώδικα ασφαλείας.
Ο λόγος που υπάρχουν δύο ESR ανά πάσα στιγμή είναι να παρέχεται μια ουσιαστική περίοδος διπλασιασμού μεταξύ των εκδόσεων, έτσι ώστε να μην κολλάτε ποτέ να αναλαμβάνετε νέες δυνατότητες μόνο για να λαμβάνετε διορθώσεις ασφαλείας – υπάρχει πάντα μια επικάλυψη κατά την οποία μπορείτε να συνεχίσετε να χρησιμοποιείτε το παλιό ESR ενώ δοκιμάζει το νέο ESR για να ετοιμαστεί για την απαραίτητη μετάβαση στο μέλλον.
Σφάλματα πλαστογράφησης εμπιστοσύνης
Τα δύο συγκεκριμένα και προφανώς σχετιζόμενα τρωτά σημεία που έκανε το Ψηλά κατηγορία αυτόν τον μήνα ήταν:
- CVE-2022-38472: Παραπλάνηση γραμμής διευθύνσεων μέσω χειρισμού σφαλμάτων XSLT.
- CVE-2022-38473: Τα έγγραφα XSLT πολλαπλής προέλευσης θα είχαν κληρονομήσει τα δικαιώματα του γονέα.
Όπως μπορείτε να φανταστείτε, αυτά τα σφάλματα σημαίνουν ότι το αδίστακτο περιεχόμενο που λαμβάνεται από έναν κατά τα άλλα αθώο ιστότοπο θα μπορούσε να καταλήξει με τον Firefox να σας ξεγελάει ώστε να εμπιστεύεστε ιστοσελίδες που δεν θα έπρεπε.
Στο πρώτο σφάλμα, ο Firefox θα μπορούσε να παρασυρθεί στην παρουσίαση περιεχομένου που προέρχεται από έναν άγνωστο και μη αξιόπιστο ιστότοπο σαν να προερχόταν από μια διεύθυνση URL που φιλοξενείται σε έναν διακομιστή που ήδη γνωρίζατε και εμπιστεύεστε.
Στο δεύτερο σφάλμα, το περιεχόμενο ιστού από έναν μη αξιόπιστο ιστότοπο X εμφανίζεται σε ένα υποπαράθυρο (ένα IFRAME, σύντομη για ενσωματωμένο πλαίσιο) σε έναν αξιόπιστο ιστότοπο Y…
…θα μπορούσε να καταλήξει με δικαιώματα ασφαλείας «δανεισμένα» από το γονικό παράθυρο Y που δεν θα περιμένατε να μεταβιβαστούν (και που δεν θα παραχωρούσατε εν γνώσει σας) στο X, συμπεριλαμβανομένης της πρόσβασης στην κάμερα web και στο μικρόφωνό σας.
Τι να κάνω;
Σε επιτραπέζιους υπολογιστές ή φορητούς υπολογιστές, μεταβείτε στο Βοήθεια > Σχετικά με τον Firefox για να ελέγξετε αν είστε ενημερωμένοι.
Εάν όχι, το Σχετικα Το παράθυρο θα σας ζητήσει να κάνετε λήψη και να ενεργοποιήσετε την απαραίτητη ενημέρωση – που αναζητάτε 104.0, ή ESR 102.2, ή ESR 91.13, ανάλογα με τη σειρά κυκλοφορίας που βρίσκεστε.
Στο κινητό σας τηλέφωνο, επικοινωνήστε με Το Google Play ή η Apple App Store για να βεβαιωθείτε ότι έχετε την πιο πρόσφατη έκδοση.
Στο Linux και στα BSD, εάν βασίζεστε στην έκδοση του Firefox που έχει συσκευαστεί από τη διανομή σας, επικοινωνήστε με τον κατασκευαστή διανομής σας για την πιο πρόσφατη έκδοση που έχουν δημοσιεύσει.
Καλό μπάλωμα!
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- Firefox
- firewall
- Kaspersky
- malware
- Mcafee
- Mozilla
- Γυμνή ασφάλεια
- Nexbloc
- Patch
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ευπάθεια
- ιστοσελίδα της ασφάλειας
- zephyrnet
