Viimeisimmät päivitykset kohteeseen Apple Safari ja Google Chrome teki suuria otsikoita, koska ne korjasivat salaperäisiä nollapäivän hyökkäyksiä, joita käytettiin jo luonnossa.
Mutta tällä viikolla nähtiin myös uusin neljän viikoittainen Firefox-päivitys, joka putosi tavalliseen tapaan tiistaina, neljä viikkoa viimeisen ajoitetun täyden version numeron lisäyksen jälkeen.
Emme ole kirjoittaneet tästä päivityksestä tähän mennessä, koska hyvä uutinen on…
…että vaikka siellä oli pari kiehtovaa ja tärkeää korjausta tasolle Korkea, ei ollut nollapäiviä tai edes yhtään kriittinen bugeja tässä kuussa.
Muistin turvallisuusvirheet
Kuten tavallista, Mozilla-tiimi määräsi kaksi kattavat CVE-numerot bugeihin, jotka he löysivät ja korjasivat ennakoivilla tekniikoilla, kuten fuzzingilla, jossa buginen koodi tutkitaan automaattisesti virheiden varalta, dokumentoidaan ja korjataan odottamatta jonkun ymmärtävän, kuinka hyödynnettävissä kyseiset viat voivat olla:
- CVE-2022-38477 kattaa virheet, jotka vaikuttavat vain Firefoxin koontiversioihin, jotka perustuvat version 102 ja uudempien koodiin, joka on pääversion käyttämä koodikanta, nyt päivitetty 104.0, ja ensisijainen Extended Support Release -versio, joka on nyt ESR 102.2.
- CVE-2022-38478 kattaa lisävirheitä, jotka ovat olemassa Firefox-koodissa, joka palaa versioon 91, koska se on toissijaisen laajennetun tukijulkaisun perusta, joka on nyt voimassa ESR 91.13.
Kuten tavallista, Mozilla puhuu tarpeeksi selkeästi tehdäkseen yksinkertaisen lausunnon, että:
Jotkin näistä virheistä osoittivat näyttöä muistin vioittumisesta, ja oletamme, että riittävällä vaivalla joitain niistä olisi voitu käyttää mielivaltaisen koodin suorittamiseen.
ESR selvitetty
Kuten olemme aiemmin selittäneet, Firefox-laajennustuki on tarkoitettu konservatiivisille kotikäyttäjille ja yritysten järjestelmänvalvojille, jotka haluavat viivyttää ominaisuuksien päivityksiä ja toimintojen muutoksia, kunhan he eivät menetä tietoturvapäivityksiä tehdessään niin.
ESR-versionumerot kertovat yhdessä, mitä ominaisuuksia sinulla on, sekä kuinka monta tietoturvapäivitystä on tehty kyseisen version julkaisun jälkeen.
Joten, varten ESR 102.2, meillä on 102+2 = 104 (nykyinen huippuversio).
Vastaavasti ESR 91.13, meillä on 91+13 = 104, jotta voidaan tehdä selväksi, että vaikka versio 91 on edelleen palannut noin vuoden takaiseen ominaisuussarjaan, se on tietoturvakorjausten osalta ajan tasalla.
Syy siihen, että ESR:ää on aina kaksi, on huomattava kaksinkertaistumisjakso versioiden välillä, joten et koskaan joudu ottamaan vastaan uusia ominaisuuksia vain saadaksesi tietoturvakorjauksia – aina on päällekkäisyyttä, jonka aikana voit jatkaa vanhan ESR:n käyttöä. samalla kun kokeilet uutta ESR:ää valmistautuaksesi tarvittavaan siirtymiseen tulevaisuudessa.
Luottamusta huijaavat bugit
Kaksi erityistä ja ilmeisesti liittyvää haavoittuvuutta teki Korkea luokka tässä kuussa olivat:
- CVE-2022-38472: Osoitepalkin huijaus XSLT-virheenkäsittelyn avulla.
- CVE-2022-38473: Cross-alkuperäiset XSLT-asiakirjat olisivat perineet vanhemman käyttöoikeudet.
Kuten voit kuvitella, nämä virheet tarkoittavat sitä, että muuten viattoman näköiseltä sivustolta haettu roistosisältö voi päätyä siihen, että Firefox huijaa sinut luottamaan verkkosivuihin, joihin sinun ei pitäisi.
Ensimmäisessä virheessä Firefox saatettiin houkutella esittämään sisältöä, joka on tarjottu tuntemattomalta ja epäluotettavalta sivustolta, ikään kuin se olisi peräisin URL-osoitteesta, joka on isännöity palvelimella, jonka jo tunsit ja johon luotit.
Toisessa virheessä verkkosisältö epäluotettavalta sivustolta X näkyy aliikkunassa (an IFRAME, lyhenne jstk sisäinen kehys) luotetulla sivustolla Y…
…saattaa päätyä yläikkunasta Y "lainattuihin" suojausoikeuksiin, joita et odottaisi siirtyvän (etkä tietoisesti myöntäisi) X:lle, mukaan lukien pääsy verkkokameraan ja mikrofoniin.
Mitä tehdä?
Pöytätietokoneissa tai kannettavissa tietokoneissa siirry kohtaan Apu: > Tietoja Firefoxista tarkistaaksesi, oletko ajan tasalla.
Jos ei, Meistä ikkuna kehottaa sinua lataamaan ja aktivoimaan tarvittavan päivityksen – etsit 104.0tai ESR 102.2tai ESR 91.13, riippuen siitä, missä julkaisusarjassa olet.
Tarkista matkapuhelimellasi Google Play tai Applen App Store varmistaaksesi, että sinulla on uusin versio.
Jos käytät Linuxia ja BSD-levyjä, jos luotat jakelusi pakkaamaan Firefox-versioon, tarkista jakelun valmistajalta uusin versio, jonka ne ovat julkaisseet.
Hyvää paikkaamista!
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- Firefox
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- mozilla
- Naked Security
- NexBLOC
- läikkä
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- alttius
- verkkosivuilla turvallisuus
- zephyrnet
![S3 Ep125: Kun suojauslaitteistossa on tietoturva-aukkoja [ääni + teksti]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep125-when-security-hardware-has-security-holes-audio-text-300x156.png "S3 Ep125: Kun suojauslaitteistossa on tietoturva-aukkoja [ääni + teksti]")
