Pieni kuukausittainen tietoturvapäivitys Firefoxista – mutta päivitä kuitenkin

On aika tehdä tämän kuun aikataulutettu Firefox-päivitys (teknisesti, kun päivitysten välillä on 28 päivää, saat joskus kaksi päivitystä yhdessä kalenterikuukaudessa, mutta heinäkuu 2022 ei ole yksi niistä kuukausista)…

…ja hyvä uutinen on, että pahimmat bugit lueteltu, jotka saavat riskiluokan Korkea, ovat ne, jotka Mozilla itse on löytänyt automaattisilla vianetsintätyökaluilla, ja ne on koottu yhteen kahden keräily-CVE-numeron alle:

• CVE-2022-36320: Muistin turvallisuus viat korjattu Firefox 103: ssa.
• CVE-2022-2505: Muistin turvallisuus viat korjattu Firefox 103:ssa ja 102.1:ssä.

Syy siihen, että nämä virheet on jaettu kahteen ryhmään, on se, että Mozilla tukee virallisesti kahta selaimensa makua.

Siellä on uusin ja paras versio, tällä hetkellä 103, jossa on kaikki uusimmat ominaisuudet ja asiaankuuluvat tietoturvakorjaukset.

Ja siellä on Extended Support Release (ESR) -maku, joka synkronoituu uusimman version ominaisuuksien kanssa muutaman kuukauden välein, mutta välissä saa vain tietoturvapäivityksiä, mikä tuo uusia ominaisuuksia vasta sen jälkeen, kun niitä on voitu kokeilla valtavirran versio jonkin aikaa.

Kuten voit kuvitella, järjestelmänvalvojat ja IT-tiimit, jotka tukevat Firefoxia työssä, pitävät usein ESR:stä, koska se tarkoittaa, että heidän ei tarvitse kohdistaa uusia ominaisuuksia omille käyttäjilleen (tai ottaa vastaan ​​väistämättömiä tukipyyntöjä uusista valikkovaihtoehdoista, erilaisista kuvakkeista ja muuttuneesta käytöksestä ) ilman hyvää varoitusta.

Valtavirran Firefox-versiossa on lähes aina korjattu ainakin muutama bugi, jotka eivät näy ESR:ssä, joten niitä ei voida korjata siellä, koska virheet ovat uusia, jotka on lisätty uuteen koodiin, joka on lisätty tukemaan uusia ominaisuuksia. .

Tämä on toinen syy, miksi jotkut järjestelmänvalvojat pitävät ESR-tyylisistä ohjelmistoista, koska kyseisten versioiden koodi on ollut yleisesti alttiina tosielämän tarkastukselle pidempään ilman, että tietoturvakorjaukset ovat jääneet jälkeen.

Itse asiassa Mozilla säilyttää kaksi ESR-versiota, joten voit kokeilla edellistä ja nykyistä ESR-versiota samanaikaisesti ennen vaihtoa, jolloin sinun ei tarvitse koskaan käyttää tuotantoverkostossasi uusinta versiota. (Katso alta kaikkien tällä hetkellä tuettujen versioiden uusimmat versionumerot.)

Napsautusten harhaanjohtaminen

Paikkausluettelon kuudesta muusta bugista kaksi on mielestämme kiehtovia ja tärkeitä, koska molemmat antavat hyökkääjille mahdollisuuden huijata sinut napsauttamaan jotain, joka ei ole sitä, miltä näyttää:

• CVE-2022-36319: Hiiren sijainnin huijaus CSS-muunnoksilla. Yksinkertaisesti sanottuna tämä virhe tarkoittaa, että hölynpölyyn jäänyt verkkosivusto voi jättää hiiren osoittimen paikalleen väärässä paikassa selainikkunassa, jotta hiiren napsauttaminen ei rekisteröidy haluamaasi paikkaan. Tämä temppu tunnetaan yleisesti nimellä clickjacking, jossa huijari saa sinut ajattelemaan, että napsautat jotain turvallista, vaikka itse asiassa napsautat linkkiä tai painiketta, jota olisit tietoisesti välttänyt, jos vain tietäisit. Yksinkertaisimmassa muodossaan clickjacking voi luoda väärennettyjä sosiaalisen median tykkäyksiä tai ei-toivottuja mainosten näyttökertoja. Pahimmillaan se voi johtaa sinulle suoraan haitoihin tietojenkalasteluhyökkäyksistä tai väärennetyistä latauksista, jotka eivät ole ilmeisiä, vaikka etsit niitä.
• CVE-2022-36314: Avaaminen paikallisesti .lnk tiedostot voivat aiheuttaa odottamattomia verkkolatauksia. LNK tiedostot ovat Windowsin pikakuvakkeet, jotka ovat kokonaisuus tölkki turvamatoja omalla tavallaan. (A .LNK tiedosto voi ohjata sinut lujasti X-tyypin tiedostoon, kuten .EXE, samalla kun esittelee itsensä Y-tyypin kuvakkeella, kuten .PDF.) Tässä tapauksessa verkkolinkki, joka määritti paikallisen .LNK tiedosto, voi napsautettaessa ohjata sinut johonkin verkkoon tallennettuun tiedostoon. Vaikka ei ole vihjausta, että tällä tavalla haettua dataa voitaisiin käyttää koodin etäsuorittamiseen (toisin sanoen luvattomien muutosten tekemiseen, mukaan lukien haittaohjelmien istuttaminen), sinut voidaan helposti huijata luottamaan etäsisältöön sillä väärällä vaikutelmalla, että se oli paikallista dataa. . Kaikki verkkopyynnöt vuotavat jonkin verran tiedot palvelinta toisessa päässä olevalle henkilölle, joten on tärkeää, että selaimesi antaa sinulle tarkan käsityksen siitä, minne jokainen napsautamasi linkki sinut vie.

LUE LISÄÄ OPKOKOHDISTA JA HAITTAOHJELMISTEISTA

Mitä tehdä?

Kuten tavallista, mene osoitteeseen Apu: > Tietoja Firefoxista ja katso, kertooko ponnahdusikkuna Firefox is up to date tai tarjoaa napsautettavan painikkeen [Update to X].

Tällä kertaa etsimäsi versio on 103.0 (jos käytät valtavirran versio), ESR 102.1 (jos olet päällä uusin ESR-versio) tai ESR 91.12 (jos olet päällä vanhin ESR-maku).

Kuten olemme aiemmin selittäneet, mutta mielestäni se on jälleen mainitsemisen arvoinen, ESR-julkaisutunnisteiden kaksi numeroa lasketaan yhteen osoittamaan yleistä julkaisua, jota ne vastaavat tietoturvapäivitysten suhteen.

Joten, kun otetaan huomioon, että nykyinen valtavirran versio on 103, voit nopeasti kertoa kuin 102.1 ESR (102+1 = 103) ja 91.12 ESR (91+12 = 103) ovat viimeisimmät julkaisut omissa linjoissaan.