Ήπια μηνιαία ενημέρωση ασφαλείας από τον Firefox – αλλά ενημέρωση ούτως ή άλλως

Ήρθε η ώρα για την προγραμματισμένη ενημέρωση του Firefox αυτού του μήνα (τεχνικά, με 28 ημέρες μεταξύ των ενημερώσεων, μερικές φορές λαμβάνετε δύο ενημερώσεις σε έναν ημερολογιακό μήνα, αλλά ο Ιούλιος 2022 δεν είναι ένας από αυτούς τους μήνες)…

…και τα καλά νέα είναι ότι το τα χειρότερα σφάλματα που αναφέρονται, τα οποία λαμβάνουν μια κατηγορία κινδύνου Ψηλά, είναι αυτά που βρέθηκαν από την ίδια τη Mozilla χρησιμοποιώντας αυτοματοποιημένα εργαλεία κυνηγιού σφαλμάτων και συγκεντρώθηκαν μαζί κάτω από δύο catchall CVE αριθμούς:

• CVE-2022-36320: Ασφάλεια μνήμης τα σφάλματα έχουν καθοριστεί στον Firefox 103.
• CVE-2022-2505: Ασφάλεια μνήμης τα σφάλματα έχουν καθοριστεί σε Firefox 103 και 102.1.

Ο λόγος που αυτά τα σφάλματα χωρίζονται σε δύο ομάδες είναι ότι η Mozilla υποστηρίζει επίσημα δύο γεύσεις του προγράμματος περιήγησής της.

Υπάρχει η πιο πρόσφατη και κορυφαία έκδοση, επί του παρόντος 103, η οποία διαθέτει όλες τις πιο πρόσφατες δυνατότητες και τις σχετικές επιδιορθώσεις ασφαλείας.

Και υπάρχει η γεύση Extended Support Release (ESR), η οποία συγχρονίζεται με τις δυνατότητες της πιο πρόσφατης έκδοσης κάθε λίγους μήνες, αλλά ενδιάμεσα λαμβάνει μόνο ενημερώσεις ασφαλείας, φέρνοντας έτσι νέες λειτουργίες μόνο αφού είναι διαθέσιμες για δοκιμή στο mainstream έκδοση για κάποιο χρονικό διάστημα.

Όπως μπορείτε να φανταστείτε, οι sysadmins και οι ομάδες IT που υποστηρίζουν τον Firefox στην εργασία τους αρέσουν συχνά τα ESR, επειδή σημαίνει ότι δεν χρειάζεται να επιβάλουν νέες δυνατότητες στους δικούς τους χρήστες (ή να λαμβάνουν τις αναπόφευκτες κλήσεις υποστήριξης σχετικά με νέες επιλογές μενού, διαφορετικά εικονίδια και τροποποιημένη συμπεριφορά ) χωρίς καλή προειδοποίηση.

Σχεδόν πάντα επιδιορθώνονται τουλάχιστον μερικά σφάλματα στην κύρια έκδοση του Firefox που δεν εμφανίζονται στο ESR και επομένως δεν μπορούν να επιδιορθωθούν εκεί, επειδή τα σφάλματα είναι νέα και εισάγονται στον νέο κώδικα που προστέθηκε για την υποστήριξη των νέων δυνατοτήτων .

Αυτός είναι ένας άλλος λόγος που σε ορισμένους sysadmin αρέσει το λογισμικό τύπου ESR, δεδομένου ότι ο κώδικας σε αυτές τις εκδόσεις έχει γενικά εκτεθεί σε πραγματικό έλεγχο για μεγαλύτερο χρονικό διάστημα, χωρίς να υστερεί στις ενημερώσεις κώδικα ασφαλείας.

Στην πραγματικότητα, το Mozilla διατηρεί δύο εκδόσεις ESR, ώστε να μπορείτε να δοκιμάσετε την προηγούμενη και την τρέχουσα έκδοση ESR ταυτόχρονα πριν κάνετε τη μετάβαση, και έτσι δεν χρειάζεται να χρησιμοποιήσετε καθόλου την τελευταία έκδοση του δικτύου παραγωγής σας. (Δείτε παρακάτω για τους πιο πρόσφατους αριθμούς εκδόσεων όλων των εκδόσεων που υποστηρίζονται αυτήν τη στιγμή.)

Παραπλάνηση των κλικ σας

Από τα άλλα έξι σφάλματα στη λίστα ενημερώσεων κώδικα, πιστεύουμε ότι δύο είναι ενδιαφέροντα και σημαντικά, επειδή και τα δύο δίνουν στους εισβολείς την ευκαιρία να σας ξεγελάσουν ώστε να κάνετε κλικ σε κάτι που δεν είναι αυτό που φαίνεται:

• CVE-2022-36319: Παραπλάνηση θέσης ποντικιού με μετασχηματισμούς CSS. Με απλά λόγια, αυτό το σφάλμα σημαίνει ότι ένας ιστότοπος που είναι παγιδευμένος με εκρήξεις θα μπορούσε να αφήσει το δείκτη του ποντικιού σας τοποθετημένο σε λάθος σημείο στο παράθυρο του προγράμματος περιήγησης, έτσι ώστε το κλικ του ποντικιού σας να μην εγγραφεί εκεί που περιμένετε. Αυτό το κόλπο είναι γενικά γνωστό ως clickjacking, όπου ένας απατεώνας σας κάνει να πιστεύετε ότι κάνετε κλικ σε κάποιο ασφαλές μέρος, ενώ στην πραγματικότητα κάνετε κλικ σε έναν σύνδεσμο ή ένα κουμπί που σκόπιμα θα είχατε αποφύγει αν το ξέρατε. Στην απλούστερη μορφή του, το clickjacking μπορεί να δημιουργήσει ψεύτικες επισημάνσεις "μου αρέσει" στα μέσα κοινωνικής δικτύωσης ή ανεπιθύμητες εμφανίσεις διαφημίσεων. Στη χειρότερη περίπτωση, μπορεί να σας οδηγήσει άμεσα σε ζημιά από επιθέσεις phishing ή ψεύτικες λήψεις που δεν είναι προφανείς, ακόμα κι αν τις αναζητάτε.
• CVE-2022-36314: Άνοιγμα τοπικό .lnk αρχεία θα μπορούσαν να προκαλέσουν απροσδόκητα φορτία δικτύου. LNK τα αρχεία είναι Συντομεύσεις των Windows, που αποτελούν ένα σύνολο κουτί σκουληκιών ασφαλείας από μόνα τους. (ΕΝΑ .LNK αρχείο μπορεί να σας ανακατευθύνει κρυφά σε ένα αρχείο τύπου X, όπως π.χ .EXE, ενώ παρουσιάζεται με ένα εικονίδιο τύπου Υ, όπως π.χ .PDF.) Σε αυτήν την περίπτωση, ένας σύνδεσμος ιστού που καθόρισε ένα τοπικό .LNK αρχείο, θα μπορούσε, εάν κάνετε κλικ, να σας ανακατευθύνει σε ένα αρχείο που είναι αποθηκευμένο κάπου στο δίκτυο. Αν και δεν υπάρχει καμία πρόταση ότι τα δεδομένα που λαμβάνονται με αυτόν τον τρόπο θα μπορούσαν να χρησιμοποιηθούν για απομακρυσμένη εκτέλεση κώδικα (με άλλα λόγια, για να κάνετε μη εξουσιοδοτημένες αλλαγές, συμπεριλαμβανομένης της εμφύτευσης κακόβουλου λογισμικού), θα μπορούσατε εύκολα να εξαπατηθείτε ώστε να εμπιστευτείτε απομακρυσμένο περιεχόμενο με την εσφαλμένη εντύπωση ότι ήταν τοπικά δεδομένα . Οποιοδήποτε αίτημα δικτύου διαρρέει μερικοί πληροφορίες στο άτομο που τρέχει τον διακομιστή στο άλλο άκρο, επομένως είναι σημαντικό για το πρόγραμμα περιήγησής σας να σας δίνει μια ακριβή ιδέα για το πού θα σας οδηγήσει κάθε σύνδεσμος που κάνετε κλικ.

ΜΑΘΕΤΕ ΠΕΡΙΣΣΟΤΕΡΑ ΣΧΕΤΙΚΑ ΜΕ ΤΙΣ ΣΥΝΤΟΜΕΥΣΕΙΣ ΚΑΙ ΤΑ ΚΑΛΥΚΟΛΟΓΙΣΜΙΚΟ

Τι να κάνω;

Ως συνήθως, πηγαίνετε στο Βοήθεια > Σχετικά με τον Firefox και δείτε αν σας λέει το αναδυόμενο πλαίσιο Firefox is up to date ή σας προσφέρει ένα κουμπί με δυνατότητα κλικ με την ετικέτα [Update to X].

Αυτή τη φορά, η έκδοση που αναζητάτε είναι 103.0 (αν χρησιμοποιείτε το κύρια έκδοση), ESR 102.1 (αν είστε στο πιο πρόσφατη έκδοση ESR), ή ESR 91.12 (αν είστε στο παλαιότερη γεύση ESR).

Όπως έχουμε εξηγήσει προηγουμένως, αλλά πιστεύετε ότι αξίζει να το αναφέρουμε ξανά, οι δύο αριθμοί στα αναγνωριστικά έκδοσης ESR αθροίζονται για να υποδηλώσουν την κύρια κυκλοφορία με την οποία ταιριάζουν όσον αφορά τις ενημερώσεις ασφαλείας.

Έτσι, δεδομένου ότι η τρέχουσα κύρια έκδοση είναι 103, μπορείτε γρήγορα να πείτε από 102.1 ΕΣΡ (102+1 = 103) και 91.12 ΕΣΡ (91+12 = 103) είναι οι πιο πρόσφατες εκδόσεις στις αντίστοιχες σειρές τους.