به روز رسانی امنیتی ماهانه خفیف از فایرفاکس - اما به هر حال به روز رسانی کنید

زمان به‌روزرسانی برنامه‌ریزی‌شده فایرفاکس در این ماه است (از نظر فنی، با ۲۸ روز فاصله بین به‌روزرسانی، گاهی اوقات در یک ماه تقویمی دو به‌روزرسانی دریافت می‌کنید، اما جولای ۲۰۲۲ یکی از آن ماه‌ها نیست)…

... و خبر خوب این است که بدترین اشکال فهرست شده، که یک دسته خطر از زیاد، مواردی هستند که توسط خود موزیلا با استفاده از ابزارهای خودکار شکار اشکال پیدا شده و تحت دو شماره CVE catchall جمع شده اند:

• CVE-2022-36320: ایمنی حافظه رفع اشکالات در فایرفاکس 103.
• CVE-2022-2505: ایمنی حافظه رفع اشکالات در فایرفاکس 103 و 102.1.

دلیل تقسیم این اشکالات به دو گروه این است که موزیلا به طور رسمی از دو نوع مرورگر خود پشتیبانی می کند.

آخرین و بهترین نسخه، در حال حاضر 103 وجود دارد که دارای آخرین ویژگی‌ها و اصلاحات امنیتی مربوطه است.

و طعم انتشار پشتیبانی گسترده (ESR) وجود دارد که هر چند ماه یکبار با ویژگی‌های جدیدترین نسخه همگام می‌شود، اما در این بین فقط به‌روزرسانی‌های امنیتی دریافت می‌کند، بنابراین ویژگی‌های جدید را تنها پس از در دسترس بودن برای آزمایش در نسخه اصلی برای مدتی

همانطور که می توانید تصور کنید، sysadmin ها و تیم های فناوری اطلاعات که از فایرفاکس در محل کار پشتیبانی می کنند اغلب ESR ها را دوست دارند زیرا این بدان معناست که آنها مجبور نیستند ویژگی های جدید را در اختیار کاربران خود قرار دهند (یا از تماس های پشتیبانی اجتناب ناپذیر در مورد گزینه های جدید منو، نمادهای مختلف و رفتار اصلاح شده استفاده کنند. ) بدون هشدار خوب.

تقریباً همیشه حداقل چند باگ در نسخه اصلی فایرفاکس برطرف می شود که در ESR ظاهر نمی شوند و بنابراین نمی توان آنها را برطرف کرد، زیرا اشکالات جدید هستند و در کد جدید اضافه شده برای پشتیبانی از ویژگی های جدید معرفی شده اند. .

این دلیل دیگری است که برخی از سیستم‌عامل‌ها نرم‌افزارهای سبک ESR را دوست دارند، با توجه به اینکه کد موجود در آن نسخه‌ها عموماً برای مدت طولانی‌تری در معرض بررسی واقعی قرار می‌گیرد، بدون اینکه در وصله‌های امنیتی عقب بماند.

در واقع، موزیلا دو نسخه ESR را حفظ می کند، به طوری که می توانید نسخه های قبلی و فعلی ESR را به طور همزمان قبل از انجام سوئیچ امتحان کنید، بنابراین هرگز نیازی به استفاده از نسخه پیشرفته شبکه تولید خود ندارید. (برای آخرین شماره نسخه های همه نسخه های پشتیبانی شده در حال حاضر به زیر مراجعه کنید.)

گمراه کردن کلیک های شما

از شش باگ دیگر موجود در لیست پچ، ما فکر می‌کنیم دو باگ جذاب و مهم هستند، زیرا هر دوی آنها به مهاجمان فرصتی می‌دهند تا شما را فریب دهند تا روی چیزی کلیک کنید که آنطور که به نظر می‌رسد نیست:

• CVE-2022-36319: جعل موقعیت ماوس با تبدیل CSS. به عبارت ساده، این اشکال به این معنی است که یک وب سایت انفجاری می تواند نشانگر ماوس شما را در موقعیت قرار دهد. در نقطه اشتباه در پنجره مرورگر، به طوری که با کلیک ماوس شما جایی که انتظار دارید ثبت نمی شود. این ترفند به طور کلی به عنوان شناخته شده است جک زدن، جایی که یک کلاهبردار باعث می شود فکر کنید در حال کلیک کردن در جایی امن هستید، در حالی که در واقع روی پیوند یا دکمه ای کلیک می کنید که اگر می دانستید عمدا از آن اجتناب می کردید. در ساده‌ترین شکل، جک کلیک می‌تواند لایک‌های جعلی رسانه‌های اجتماعی یا نمایش تبلیغات ناخواسته را مهندسی کند. در بدترین حالت، می‌تواند مستقیماً شما را به آسیب حملات فیشینگ یا دانلودهای جعلی که واضح نیستند، سوق دهد، حتی اگر به دنبال آنها باشید.
• CVE-2022-36314: باز کردن محلی .lnk فایل ها می تواند باعث شود بارهای غیرمنتظره شبکه. LNK فایل ها هستند میانبرهای ویندوز، که یک کل هستند قوطی کرم های امنیتی در حق خود. (آ .LNK فایل می تواند یواشکی شما را به فایلی از نوع X هدایت کند، مانند .EXE، در حالی که خود را با نمادی از نوع Y مانند .PDF.) در این مورد، یک پیوند وب که یک محلی را مشخص می کند.LNK فایل، در صورت کلیک کردن، می تواند شما را به فایلی که در جایی در شبکه ذخیره شده است هدایت کند. اگرچه هیچ پیشنهادی وجود ندارد که داده‌های واکشی شده از این طریق می‌توانند برای اجرای کد از راه دور استفاده شوند (به عبارت دیگر، برای ایجاد تغییرات غیرمجاز، از جمله کاشت بدافزار)، شما به راحتی می‌توانید با این تصور اشتباه که داده‌های محلی است، به محتوای راه دور اعتماد کنید. . هر درخواست شبکه نشت می کند برخی از اطلاعات به شخصی که سرور را در انتهای دیگر اجرا می کند، بنابراین مهم است که مرورگر شما ایده دقیقی از اینکه هر پیوندی که کلیک می کنید شما را به کجا می برد به شما بدهد.

درباره میانبرها و بدافزارها بیشتر بیاموزید

چه کاری انجام دهید؟

طبق معمول، به کمک > درباره Firefox و ببینید آیا کادر بازشو به شما می گوید یا خیر Firefox is up to date یا یک دکمه قابل کلیک با برچسب به شما پیشنهاد می دهد [Update to X].

این بار، نسخه ای است که شما دنبال آن هستید 103.0 (اگر از نسخه اصلی), ESR 102.1 (اگر در آخرین نسخه ESR)، یا ESR 91.12 (اگر در قدیمی ترین طعم ESR).

همانطور که قبلا توضیح دادیم، اما فکر می‌کنید ارزش ذکر مجدد را دارد، دو عدد در شناسه‌های انتشار ESR با هم جمع می‌شوند تا نسخه اصلی را که از نظر به‌روزرسانی‌های امنیتی با آن مطابقت دارند، نشان دهند.

بنابراین، با توجه به اینکه نسخه اصلی فعلی است 103، شما می توانید به سرعت تشخیص دهید 102.1 عدد ESR (102+1 = 103) و 91.12 عدد ESR (91+12 = 103) جدیدترین نسخه ها در دودمان مربوطه هستند.