Actualización de seguridad mensual leve de Firefox, pero actualice de todos modos

Es hora de la actualización de Firefox programada para este mes (técnicamente, con 28 días entre actualizaciones, a veces obtienes dos actualizaciones en un mes calendario, pero julio de 2022 no es uno de esos meses)...

…y la buena noticia es que el peores errores enumerados, que obtienen una categoría de riesgo de Alta, son los encontrados por el propio Mozilla utilizando herramientas automatizadas de búsqueda de errores y agrupados bajo dos números CVE generales:

• CVE-2022-36320: Seguridad de la memoria errores corregidos en Firefox 103.
• CVE-2022-2505: Seguridad de la memoria errores corregidos en Firefox 103 y 102.1.

La razón por la que estos errores se dividen en dos grupos es que Mozilla admite oficialmente dos versiones de su navegador.

Existe la última y mejor versión, actualmente la 103, que tiene todas las funciones más recientes y correcciones de seguridad relevantes.

Y está el sabor Extended Support Release (ESR), que se sincroniza con las funciones de la última versión cada pocos meses, pero en el medio solo recibe actualizaciones de seguridad, por lo que trae nuevas funciones solo después de que hayan estado disponibles para probar en el versión convencional durante algún tiempo.

Como puede imaginar, a los administradores de sistemas y equipos de TI que brindan soporte a Firefox en el trabajo a menudo les gustan los ESR porque significa que no tienen que imponer nuevas funciones a sus propios usuarios (o atender las inevitables llamadas de soporte sobre nuevas opciones de menú, íconos diferentes y comportamiento modificado ) sin una buena advertencia.

Casi siempre hay al menos algunos errores corregidos en la versión principal de Firefox que no aparecen en el ESR y, por lo tanto, no se pueden corregir allí, porque los errores son nuevos, introducidos en el nuevo código agregado para admitir las nuevas funciones. .

Esta es otra razón por la que a algunos administradores de sistemas les gusta el software de estilo ESR, dado que el código en esas versiones ha estado generalmente expuesto al escrutinio de la vida real durante más tiempo, sin demorarse en los parches de seguridad.

De hecho, Mozilla conserva dos versiones de ESR, por lo que puede probar las versiones de ESR anterior y actual al mismo tiempo antes de realizar el cambio, por lo que nunca necesitará usar la versión de vanguardia en su red de producción. (Consulte a continuación los números de versión más recientes de todas las versiones admitidas actualmente).

Engañando tus clics

De los otros seis errores en la lista de parches, creemos que dos son intrigantes e importantes, porque ambos les dan a los atacantes la oportunidad de engañarlo para que haga clic en algo que no es lo que parece:

• CVE-2022-36319: Suplantación de la posición del mouse con transformaciones CSS. En pocas palabras, este error significa que un sitio web con trampa explosiva podría dejar el puntero del mouse posicionado en el lugar equivocado en la ventana del navegador, para que al hacer clic con el mouse no se registre donde espera. Este truco se conoce generalmente como clickjacking, donde un estafador le hace pensar que está haciendo clic en un lugar seguro, cuando en realidad está haciendo clic en un enlace o botón que habría evitado deliberadamente si supiera. En su forma más simple, el secuestro de clics puede generar falsos me gusta en las redes sociales o impresiones de anuncios no deseados. En el peor de los casos, puede causarle daños directos debido a ataques de phishing o descargas falsas que no son obvias, incluso si las está buscando.
• CVE-2022-36314: Apertura local .lnk los archivos pueden causar cargas de red inesperadas. LNK los archivos son Atajos de Windows, que son un todo lata de gusanos de seguridad en su propio derecho. (A .LNK puede redirigir furtivamente a un archivo de tipo X, como .EXE, mientras se presenta con un icono de tipo Y, como .PDF.) En este caso, un enlace web que especificó un local .LNK archivo, podría, si se hace clic en él, redirigirlo a un archivo almacenado en algún lugar de la red. Aunque no hay ninguna sugerencia de que los datos obtenidos de esta manera puedan usarse para la ejecución remota de código (en otras palabras, para realizar cambios no autorizados, incluida la implantación de malware), es fácil engañarlo para que confíe en el contenido remoto con la impresión errónea de que se trata de datos locales. . Cualquier solicitud de red se filtra algo información a la persona que ejecuta el servidor en el otro extremo, por lo que es importante que su navegador le dé una idea precisa de dónde lo llevará cada enlace en el que haga clic.

MÁS INFORMACIÓN SOBRE ACCESOS DIRECTOS Y MALWARE

¿Qué hacer?

Como de costumbre, vaya a Ayuda > Acerca de Firefox y mira si el cuadro emergente te dice Firefox is up to date o le ofrece un botón en el que se puede hacer clic etiquetado [Update to X].

Esta vez, la versión que buscas es 103.0 (si está utilizando el versión convencional), ESR 102.1 (si estás en el versión más reciente de ESR), o ESR 91.12 (si estás en el sabor ESR más antiguo).

Como explicamos antes, pero creo que vale la pena mencionarlo nuevamente, los dos números en los identificadores de versión de ESR se suman para indicar la versión principal con la que coinciden en términos de actualizaciones de seguridad.

Entonces, dado que la versión principal actual es 103, puedes decir rápidamente que 102.1 VSG (102+1 = 103) y 91.12 VSG (91+12 = 103) son los lanzamientos más recientes en sus respectivos linajes.