On aeg selle kuu plaanitud Firefoxi värskenduseks (tehniliselt, kui värskenduste vahel on 28 päeva, saate mõnikord ühes kalendrikuus kaks värskendust, kuid juuli 2022 pole üks neist kuudest)…
…ja hea uudis on see, et loetletud halvimad vead, mis saavad riskikategooria Suur, on need, mille Mozilla ise, kasutades automaatseid veaotsingu tööriistu, leidis ja koondab need kahe kogumis-CVE numbri alla:
- CVE-2022-36320: Mälu ohutus vead parandatud Firefox 103-s.
- CVE-2022-2505: Mälu ohutus vead parandatud Firefoxi versioonides 103 ja 102.1.
Põhjus, miks need vead on jagatud kahte rühma, on see, et Mozilla toetab ametlikult oma brauseri kahte versiooni.
Seal on uusim ja parim versioon, praegu 103, millel on kõik uusimad funktsioonid ja asjakohased turvaparandused.
Ja seal on laiendatud tugiväljalase (ESR) maitse, mis sünkroonitakse uusima versiooni funktsioonidega iga paari kuu tagant, kuid vahepeal saab ainult turvavärskendusi, mis toob kaasa uued funktsioonid alles pärast seda, kui need on proovimiseks saadaval mainstream versioon mõnda aega.
Nagu võite ette kujutada, meeldivad sageli ESR-id süsteemiadministraatoritele ja IT-meeskondadele, kes toetavad Firefoxi tööl, kuna see tähendab, et nad ei pea oma kasutajatele uusi funktsioone peale suruma (või võtma vastu vältimatuid tugikõnesid uute menüüvalikute, erinevate ikoonide ja muudetud käitumise kohta). ) ilma korraliku hoiatuseta.
Peaaegu alati on Firefoxi tavaversioonis parandatud vähemalt mõned vead, mida ESR-is ei kuvata ja seega ei saa seal parandada, kuna vead on uued, mis on lisatud uute funktsioonide toetamiseks lisatud uude koodi. .
See on veel üks põhjus, miks mõnele süsteemiadministraatorile meeldib ESR-stiilis tarkvara, arvestades, et nende versioonide kood on olnud reaalses elus pikemalt kontrollitud, ilma et oleks jäänud turvapaikadest maha.
Tegelikult säilitab Mozilla kaks ESR-i versiooni, nii et saate enne üleminekut proovida eelmist ja praegust ESR-i versiooni korraga, mistõttu ei pea te oma tootmisvõrgu tipptasemel versiooni kunagi kasutama. (Kõigi praegu toetatud versioonide uusimad versiooninumbrid leiate altpoolt.)
Teie klikkide eksitamine
Ülejäänud kuuest paigaloendis olevast veast arvame, et kaks on intrigeerivad ja olulised, sest mõlemad annavad ründajatele võimaluse meelitada teid klõpsama millelegi, mis pole see, mis näib:
- CVE-2022-36319: Hiire asukoha võltsimine CSS-teisendustega. Lihtsamalt öeldes tähendab see viga seda, et lõksus olev veebisait võib jätta teie hiirekursori paigale vales kohas brauseriaknas, nii et hiireklõps ei registreeriks soovitud kohta. Seda trikki tuntakse üldiselt kui klikkide röövimine, kus pettur paneb sind arvama, et klõpsate kuskil turvalises kohas, kuigi tegelikult klõpsate lingil või nupul, mida oleksite teadlikult vältinud. Kõige lihtsamal kujul võib klikkide äravõtmine tekitada võltsitud sotsiaalmeedia meeldimisi või soovimatuid reklaaminäitamisi. Halvimal juhul võib see andmepüügirünnakute või võltsitud allalaadimiste tõttu otsest kahju tekitada, isegi kui te neid otsite.
- CVE-2022-36314: Avamine kohalik
.lnkfailid võivad põhjustada ootamatu võrgukoormus.LNKfailid on Windowsi otseteed, mis on tervik purk turvaussid omaette. (A.LNKfail võib teid hiilivalt ümber suunata X-tüüpi faili, näiteks.EXE, esitledes samal ajal end Y-tüüpi ikooniga, näiteks.PDF.) Sel juhul veebilink, mis määras kohaliku .LNKfail, võib klõpsamisel suunata teid selle asemel kuhugi võrgus talletatud faili juurde. Kuigi pole vihjet sellele, et sel viisil hangitud andmeid saaks kasutada koodi kaugkäivitamiseks (teisisõnu volitamata muudatuste tegemiseks, sealhulgas pahavara siirdamiseks), võidakse teid kergesti petta kaugsisu usaldama, jäädes ekslikule muljele, et tegemist on kohalike andmetega. . Kõik võrgutaotlused lekivad mõned teavet serveri teises otsas haldavale inimesele, seega on oluline, et teie brauser annaks teile täpse ülevaate, kuhu iga klõpsatud link teid viib.
LUGEGE LISATEAVE OTSEETE JA PAHAVARA KOHTA
Mida teha?
Nagu tavaliselt, minge aadressile aitama > Firefoxist ja vaadake, kas hüpikaken ütleb teile Firefox is up to date või pakub klõpsatavat nuppu [Update to X].
Seekord on versioon, mida otsite 103.0 (kui kasutate mainstream versioon), ESR 102.1 (kui olete võrgus uusim ESR versioon) või ESR 91.12 (kui olete võrgus vanim ESR-i maitse).
Nagu oleme varem selgitanud, kuid arvan, et see on uuesti mainimist väärt, liidetakse ESR-i väljalaske identifikaatorites olevad kaks numbrit kokku, et tähistada tavalist versiooni, millega need turvavärskenduste osas ühtivad.
Seega, arvestades, et praegune mainstream versioon on 103, saate kiiresti öelda, kui 102.1 ESR (102+1 = 103) ja 91.12 ESR (91+12 = 103) on vastavate liinide uusimad väljaanded.
- blockchain
- klikkide röövimine
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- Firefox
- tulemüüri
- Kaspersky
- malware
- mcafee
- Mozilla
- Alasti turvalisus
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- haavatavus
- kodulehel turvalisus
- sephyrnet
![S3 Ep111: äririsk, mis tuleneb labasest "alastusest filtri eemaldamisest" [heli + tekst] PlatoBlockchain Data Intelligence. Vertikaalne otsing. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111: äririsk, mis tuleneb labasest alastusest filtri eemaldamisest [heli + tekst]")
![S3 Ep93: Office'i turvalisus, rikkumiskulud ja rahulikud paigad [heli + tekst] PlatoBlockchain Data Intelligence. Vertikaalne otsing. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/s3-ep93-1200-300x157.png "S3 Ep93: kontori turvalisus, rikkumiskulud ja rahulikud paigad [heli + tekst]")
