زمان بهروزرسانی برنامهریزیشده فایرفاکس در این ماه است (از نظر فنی، با ۲۸ روز فاصله بین بهروزرسانی، گاهی اوقات در یک ماه تقویمی دو بهروزرسانی دریافت میکنید، اما جولای ۲۰۲۲ یکی از آن ماهها نیست)…
... و خبر خوب این است که بدترین اشکال فهرست شده، که یک دسته خطر از زیاد، مواردی هستند که توسط خود موزیلا با استفاده از ابزارهای خودکار شکار اشکال پیدا شده و تحت دو شماره CVE catchall جمع شده اند:
- CVE-2022-36320: ایمنی حافظه رفع اشکالات در فایرفاکس 103.
- CVE-2022-2505: ایمنی حافظه رفع اشکالات در فایرفاکس 103 و 102.1.
دلیل تقسیم این اشکالات به دو گروه این است که موزیلا به طور رسمی از دو نوع مرورگر خود پشتیبانی می کند.
آخرین و بهترین نسخه، در حال حاضر 103 وجود دارد که دارای آخرین ویژگیها و اصلاحات امنیتی مربوطه است.
و طعم انتشار پشتیبانی گسترده (ESR) وجود دارد که هر چند ماه یکبار با ویژگیهای جدیدترین نسخه همگام میشود، اما در این بین فقط بهروزرسانیهای امنیتی دریافت میکند، بنابراین ویژگیهای جدید را تنها پس از در دسترس بودن برای آزمایش در نسخه اصلی برای مدتی
همانطور که می توانید تصور کنید، sysadmin ها و تیم های فناوری اطلاعات که از فایرفاکس در محل کار پشتیبانی می کنند اغلب ESR ها را دوست دارند زیرا این بدان معناست که آنها مجبور نیستند ویژگی های جدید را در اختیار کاربران خود قرار دهند (یا از تماس های پشتیبانی اجتناب ناپذیر در مورد گزینه های جدید منو، نمادهای مختلف و رفتار اصلاح شده استفاده کنند. ) بدون هشدار خوب.
تقریباً همیشه حداقل چند باگ در نسخه اصلی فایرفاکس برطرف می شود که در ESR ظاهر نمی شوند و بنابراین نمی توان آنها را برطرف کرد، زیرا اشکالات جدید هستند و در کد جدید اضافه شده برای پشتیبانی از ویژگی های جدید معرفی شده اند. .
این دلیل دیگری است که برخی از سیستمعاملها نرمافزارهای سبک ESR را دوست دارند، با توجه به اینکه کد موجود در آن نسخهها عموماً برای مدت طولانیتری در معرض بررسی واقعی قرار میگیرد، بدون اینکه در وصلههای امنیتی عقب بماند.
در واقع، موزیلا دو نسخه ESR را حفظ می کند، به طوری که می توانید نسخه های قبلی و فعلی ESR را به طور همزمان قبل از انجام سوئیچ امتحان کنید، بنابراین هرگز نیازی به استفاده از نسخه پیشرفته شبکه تولید خود ندارید. (برای آخرین شماره نسخه های همه نسخه های پشتیبانی شده در حال حاضر به زیر مراجعه کنید.)
گمراه کردن کلیک های شما
از شش باگ دیگر موجود در لیست پچ، ما فکر میکنیم دو باگ جذاب و مهم هستند، زیرا هر دوی آنها به مهاجمان فرصتی میدهند تا شما را فریب دهند تا روی چیزی کلیک کنید که آنطور که به نظر میرسد نیست:
- CVE-2022-36319: جعل موقعیت ماوس با تبدیل CSS. به عبارت ساده، این اشکال به این معنی است که یک وب سایت انفجاری می تواند نشانگر ماوس شما را در موقعیت قرار دهد. در نقطه اشتباه در پنجره مرورگر، به طوری که با کلیک ماوس شما جایی که انتظار دارید ثبت نمی شود. این ترفند به طور کلی به عنوان شناخته شده است جک زدن، جایی که یک کلاهبردار باعث می شود فکر کنید در حال کلیک کردن در جایی امن هستید، در حالی که در واقع روی پیوند یا دکمه ای کلیک می کنید که اگر می دانستید عمدا از آن اجتناب می کردید. در سادهترین شکل، جک کلیک میتواند لایکهای جعلی رسانههای اجتماعی یا نمایش تبلیغات ناخواسته را مهندسی کند. در بدترین حالت، میتواند مستقیماً شما را به آسیب حملات فیشینگ یا دانلودهای جعلی که واضح نیستند، سوق دهد، حتی اگر به دنبال آنها باشید.
- CVE-2022-36314: باز کردن محلی
.lnk
فایل ها می تواند باعث شود بارهای غیرمنتظره شبکه.LNK
فایل ها هستند میانبرهای ویندوز، که یک کل هستند قوطی کرم های امنیتی در حق خود. (آ.LNK
فایل می تواند یواشکی شما را به فایلی از نوع X هدایت کند، مانند.EXE
، در حالی که خود را با نمادی از نوع Y مانند.PDF
.) در این مورد، یک پیوند وب که یک محلی را مشخص می کند.LNK
فایل، در صورت کلیک کردن، می تواند شما را به فایلی که در جایی در شبکه ذخیره شده است هدایت کند. اگرچه هیچ پیشنهادی وجود ندارد که دادههای واکشی شده از این طریق میتوانند برای اجرای کد از راه دور استفاده شوند (به عبارت دیگر، برای ایجاد تغییرات غیرمجاز، از جمله کاشت بدافزار)، شما به راحتی میتوانید با این تصور اشتباه که دادههای محلی است، به محتوای راه دور اعتماد کنید. . هر درخواست شبکه نشت می کند برخی از اطلاعات به شخصی که سرور را در انتهای دیگر اجرا می کند، بنابراین مهم است که مرورگر شما ایده دقیقی از اینکه هر پیوندی که کلیک می کنید شما را به کجا می برد به شما بدهد.
درباره میانبرها و بدافزارها بیشتر بیاموزید
چه کاری انجام دهید؟
طبق معمول، به کمک > درباره Firefox و ببینید آیا کادر بازشو به شما می گوید یا خیر Firefox is up to date
یا یک دکمه قابل کلیک با برچسب به شما پیشنهاد می دهد [Update to X]
.
این بار، نسخه ای است که شما دنبال آن هستید 103.0 (اگر از نسخه اصلی), ESR 102.1 (اگر در آخرین نسخه ESR)، یا ESR 91.12 (اگر در قدیمی ترین طعم ESR).
همانطور که قبلا توضیح دادیم، اما فکر میکنید ارزش ذکر مجدد را دارد، دو عدد در شناسههای انتشار ESR با هم جمع میشوند تا نسخه اصلی را که از نظر بهروزرسانیهای امنیتی با آن مطابقت دارند، نشان دهند.
بنابراین، با توجه به اینکه نسخه اصلی فعلی است 103، شما می توانید به سرعت تشخیص دهید 102.1 عدد ESR (102+1 = 103) و 91.12 عدد ESR (91+12 = 103) جدیدترین نسخه ها در دودمان مربوطه هستند.