به روز رسانی های اخیر به اپل سافاری و گوگل کروم سرفصل های بزرگی را به خود اختصاص دادند زیرا آنها بهره برداری های مرموز روز صفر را که قبلاً در طبیعت استفاده می شد، اصلاح کردند.
اما این هفته همچنین شاهد آخرین آپدیت چهار هفته ای فایرفاکس بودیم که طبق معمول سقوط کرد در روز سهشنبه، چهار هفته پس از آخرین نسخه برنامهریزیشده نسخه افزایشی تعداد.
ما تاکنون در مورد این بهروزرسانی چیزی ننوشتهایم زیرا، خوب، چون خبر خوب این است که…
... که اگرچه چند راه حل جالب و مهم با یک سطح وجود دارد زیادهیچ روز صفر یا حتی هیچ روزی وجود نداشت بحرانی اشکالات این ماه
اشکالات ایمنی حافظه
طبق معمول، تیم موزیلا دو نفر را اختصاص داد اعداد فراگیر CVE به اشکالاتی که آنها با استفاده از تکنیکهای پیشگیرانه مانند fuzzing پیدا و برطرف کردند، که در آن کد باگ به طور خودکار برای عیوب بررسی میشود، مستند میشود و بدون منتظر ماندن برای اینکه کسی بفهمد این اشکالات تا چه حد ممکن است قابل بهرهبرداری باشند، وصله میشوند:
- CVE-2022-38477 اشکالاتی را پوشش میدهد که فقط بر روی بیلدهای فایرفاکس بر اساس کد نسخه 102 و نسخههای جدیدتر، که پایگاه کد مورد استفاده نسخه اصلی است، که اکنون بهروزرسانی شده است، تأثیر میگذارد. 104.0و نسخه اولیه Extended Support Release که اکنون موجود است ESR 102.2.
- CVE-2022-38478 اشکالات اضافی را پوشش می دهد که در کد فایرفاکس وجود دارد و به نسخه 91 برمی گردد، زیرا این اساس نسخه ثانویه Extended Support Release است که اکنون در ESR 91.13.
طبق معمول، موزیلا به اندازه کافی ساده صحبت می کند تا این جمله ساده را بیان کند که:
برخی از این اشکالات شواهدی از خرابی حافظه را نشان میدهند و ما فرض میکنیم که با تلاش کافی میتوان از برخی از آنها برای اجرای کد دلخواه سوء استفاده کرد.
ESR ابهام زدایی شد
همانطور که قبلا توضیح دادیم، نسخه پشتیبانی گسترده فایرفاکس برای کاربران خانگی محافظهکار و سیستمهای سازمانی که ترجیح میدهند بهروزرسانی ویژگیها و تغییرات عملکرد را به تأخیر بیندازند، تا زمانی که با انجام این کار، بهروزرسانیهای امنیتی را از دست ندهند.
شمارههای نسخه ESR با هم ترکیب میشوند تا به شما بگویند چه ویژگیهایی دارید، بهعلاوه تعداد بهروزرسانیهای امنیتی از زمان انتشار آن نسخه وجود داشته است.
بنابراین برای ESR 102.2، ما 102+2 = 104 داریم (نسخه پیشرو فعلی).
به طور مشابه، برای ESR 91.13، ما 91+13 = 104 داریم، تا روشن کنیم که اگرچه نسخه 91 هنوز به مجموعه ویژگی های حدود یک سال پیش بازگشته است، اما تا آنجا که به وصله های امنیتی مربوط می شود، به روز است.
دلیل وجود دو ESR در هر زمان این است که یک دوره دوگانه قابل توجه بین نسخهها ارائه شود، بنابراین شما هرگز درگیر استفاده از ویژگیهای جدید صرفاً برای دریافت اصلاحات امنیتی نیستید – همیشه یک همپوشانی وجود دارد که در طی آن میتوانید از ESR قدیمی استفاده کنید. در حالی که ESR جدید را امتحان می کنید تا برای جابجایی لازم در آینده آماده شوید.
اشکالات جعل اعتماد
دو آسیبپذیری خاص و ظاهرا مرتبط که ساخت زیاد دسته این ماه عبارت بودند از:
- CVE-2022-38472: جعل نوار آدرس از طریق مدیریت خطای XSLT.
- CVE-2022-38473: اسناد XSLT با منشاء متقاطع مجوزهای والدین را به ارث برده اند.
همانطور که میتوانید تصور کنید، این اشکالات به این معنی است که محتوای سرکش که از یک سایت بیگناه دریافت میشود، میتواند در نهایت منجر به فریب فایرفاکس شما شود تا به صفحات وب اعتماد کنید که نباید اعتماد کنید.
در اولین باگ، فایرفاکس میتواند فریب داده شود تا محتوای ارائه شده از یک سایت ناشناخته و نامعتبر را به گونهای فریب دهد که گویی از یک URL میزبانی شده در سروری که قبلاً میشناختید و به آن اعتماد دارید، آمده است.
در اشکال دوم، محتوای وب از یک سایت نامعتبر X نشان داده شده در یک پنجره فرعی (یک IFRAME
، کوتاه برای قاب درون خطی) در یک سایت قابل اعتماد Y…
... ممکن است با مجوزهای امنیتی "قرض گرفته شده" از پنجره والد Y که انتظار ندارید به X منتقل شود (و آگاهانه نمی دهید) از جمله دسترسی به وب کم و میکروفون شما به پایان برسد.
چه کاری انجام دهید؟
در رایانههای رومیزی یا لپتاپ، به کمک > درباره Firefox برای بررسی اینکه آیا به روز هستید یا خیر.
اگر نه، درباره ما پنجره از شما می خواهد که آپدیت مورد نیاز را دانلود و فعال کنید - به دنبال آن هستید 104.0، یا ESR 102.2، یا ESR 91.13، بسته به این که در کدام سری انتشار هستید.
در تلفن همراه خود، با گوگل بازی یا فروشگاه App اپل برای اطمینان از اینکه آخرین نسخه را دارید.
در لینوکس و BSD ها، اگر به نسخه فایرفاکس بسته بندی شده توسط توزیع خود متکی هستید، برای آخرین نسخه منتشر شده توسط سازنده توزیع خود تماس بگیرید.
وصله مبارک!