Firefox 104 on väljas – kriitilisi vigu pole, kuid värskendage siiski

Viimased värskendused saidile Apple Safari ja Google Chrome tegid suuri pealkirju, sest parandasid salapäraseid nullpäeva rünnakuid, mida juba looduses kasutati.

Kuid sel nädalal ilmus ka viimane neljanädalane Firefoxi värskendus, mis langes nagu tavaliselt teisipäeval, neli nädalat pärast viimast ajastatud täisversiooninumbrit suurendavat väljalaset.

Me pole sellest värskendusest siiani kirjutanud, sest hea uudis on…

...et kuigi tasemel oli paar intrigeerivat ja olulist parandust Suur, ei olnud ühtegi nullpäeva ega isegi mitte ühtegi Kriitiline vead sel kuul.

Mälu turvavead

Nagu tavaliselt, määras Mozilla meeskond kaks üldised CVE numbrid vigadele, mille nad leidsid ja parandasid, kasutades ennetavaid tehnikaid, nagu udustamine, kus vigases koodis otsitakse automaatselt vigu, dokumenteeritakse ja parandatakse, ootamata, kuni keegi mõistab, kui kasutatav need vead olla võivad:

• CVE-2022-38477 hõlmab vigu, mis mõjutavad ainult Firefoxi versioone, mis põhinevad versiooni 102 ja uuemate versioonide koodil, mis on põhiversiooni kasutatav koodibaas, mida nüüd värskendatakse 104.0ja esmane laiendatud toe versioon, mis on praegu ESR 102.2.
• CVE-2022-38478 hõlmab täiendavaid vigu, mis eksisteerivad Firefoxi koodis, mis ulatub tagasi versioonini 91, sest see on sekundaarse laiendatud toe väljaande aluseks, mis praegu seisab ESR 91.13.

Nagu tavaliselt, on Mozilla piisavalt selgesõnaline, et teha lihtsat hääldust, et:

Mõned neist vigadest näitasid mälu rikkumist ja me eeldame, et piisava pingutusega oleks mõnda neist saanud ära kasutada suvalise koodi käivitamiseks.

ESR demüstifitseeritud

Nagu me varem selgitasime, Firefoxi laiendatud tugiväljaanne on suunatud konservatiivsetele kodukasutajatele ja ettevõtete süsteemiadministraatoritele, kes eelistavad funktsioonide värskendusi ja funktsionaalsuse muudatusi edasi lükata, kui nad ei jäta seda tehes turvavärskendustest ilma.

ESR-i versiooninumbrid näitavad teile, milline funktsioonide komplekt teil on, ja kui palju turvavärskendusi on pärast selle versiooni ilmumist tehtud.

Niisiis ESR 102.2, meil on 102+2 = 104 (praegune tippversioon).

Samamoodi jaoks ESR 91.13, meil on 91+13 = 104, et teha selgeks, et kuigi versioon 91 on endiselt umbes aastataguse funktsioonikomplekti juures, on see turvapaikade osas ajakohane.

Põhjus, miks igal ajal on kaks ESR-i, on pakkuda versioonide vahel märkimisväärset kahekordistusperioodi, nii et te ei jää kunagi jänni uute funktsioonide kasutuselevõtmisega lihtsalt turvaparanduste saamiseks – alati on kattumine, mille jooksul saate vana ESR-i kasutamist jätkata. proovides uut ESR-i, et valmistuda vajalikuks üleminekuks tulevikus.

Usaldust võltsitud vead

Kaks konkreetset ja ilmselt seotud haavatavust, mis tegi Suur kategooria sel kuul olid:

• CVE-2022-38472: Aadressiriba võltsimine XSLT-tõrketöötluse kaudu.
• CVE-2022-38473: Cross-origin XSLT Documents oleks pärinud vanema load.

Nagu võite ette kujutada, tähendavad need vead seda, et muidu süütu välimusega saidilt toodud petturitest sisu võib lõppeda sellega, et Firefox meelitab teid usaldama veebilehti, mida te ei peaks.

Esimese vea korral võidakse Firefoxi meelitada esitama sisu, mida edastatakse tundmatult ja ebausaldusväärselt saidilt, nagu oleks see pärit URL-ilt, mis on hostitud serveris, mida te juba teadsite ja usaldate.

Teise vea korral kuvatakse alamaknas veebisisu ebausaldusväärselt saidilt X (an IFRAME, lühike sisemine raam) usaldusväärsel saidil Y…

…võib lõppeda turbeõigustega, mis on ülemaknast Y “laenatud”, mida te ei eeldaks (ja mida te teadlikult ei anna) X-le, sealhulgas juurdepääsu teie veebikaamerale ja mikrofonile.

Mida teha?

Laua- või sülearvutite puhul minge aadressile aitama > Firefoxist et kontrollida, kas olete kursis.

Kui ei, siis MEIST aken palub teil alla laadida ja aktiveerida vajaliku värskenduse – te otsite 104.0või ESR 102.2või ESR 91.13, olenevalt sellest, millises väljalaskesarjas osalete.

Kontrollige oma mobiiltelefonis Google Play või Apple App Store veendumaks, et teil on uusim versioon.

Kui kasutate Linuxi ja BSD-de puhul oma distributsiooniga pakendatud Firefoxi versiooni, küsige oma distributsioonitootjalt viimast versiooni, mille nad on avaldanud.

Head lappimist!

---