Firefox 104 est sorti – pas de bugs critiques, mais mettez quand même à jour PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

Firefox 104 est sorti - pas de bugs critiques, mais mettez quand même à jour

Horodatage: 26 août 2022 12 h 27

by
Paul Canard

Mises à jour récentes de Apple Safari ainsi que Google Chrome ont fait la une des journaux parce qu'ils ont corrigé de mystérieux exploits du jour zéro qui étaient déjà utilisés dans la nature.

Mais cette semaine a également vu la dernière mise à jour quadrihebdomadaire de Firefox, qui abandonné comme d'habitude mardi, quatre semaines après la dernière version programmée avec incrément de numéro de version complète.

Nous n'avons pas écrit sur cette mise à jour jusqu'à présent parce que, eh bien, parce que la bonne nouvelle est…

…que même s'il y avait quelques correctifs intrigants et importants avec un niveau de Haute, il n'y a pas eu de zero-day, ni même aucun Critical bugs ce mois-ci.

Bugs de sécurité de la mémoire

Comme d'habitude, l'équipe Mozilla a assigné deux Chiffres CVE globaux aux bogues qu'ils ont trouvés et corrigés à l'aide de techniques proactives telles que le fuzzing, où le code bogué est automatiquement recherché à la recherche de failles, documenté et corrigé sans attendre que quelqu'un comprenne à quel point ces bogues pourraient être exploitables :

  • CVE-2022-38477 couvre les bogues qui affectent uniquement les versions de Firefox basées sur le code de la version 102 et ultérieure, qui est la base de code utilisée par la version principale, désormais mise à jour vers 104.0, et la version principale Extended Support Release, qui est désormais ESR 102.2.
  • CVE-2022-38478 couvre des bogues supplémentaires qui existent dans le code de Firefox depuis la version 91, car c'est la base de la version secondaire de support étendu, qui se trouve désormais à ESR 91.13.

Comme d'habitude, Mozilla est suffisamment clair pour faire la simple déclaration suivante :

Certains de ces bogues montraient des preuves de corruption de la mémoire et nous présumons qu'avec suffisamment d'efforts, certains d'entre eux auraient pu être exploités pour exécuter du code arbitraire.

L'ESR démystifiée

Comme nous l'avons déjà expliqué, Firefox Extended Support Release s'adresse aux utilisateurs particuliers conservateurs et aux administrateurs système d'entreprise qui préfèrent retarder les mises à jour et les modifications de fonctionnalités, à condition de ne pas manquer les mises à jour de sécurité.

Les numéros de version ESR se combinent pour vous indiquer l'ensemble des fonctionnalités dont vous disposez, ainsi que le nombre de mises à jour de sécurité effectuées depuis la sortie de cette version.

Donc pour ESR 102.2, nous avons 102+2 = 104 (la version de pointe actuelle).

De même, pour ESR 91.13, nous avons 91+13 = 104, pour indiquer clairement que même si la version 91 est toujours de retour aux fonctionnalités définies il y a environ un an, elle est à jour en ce qui concerne les correctifs de sécurité.

La raison pour laquelle il y a deux ESR à tout moment est de fournir une période de double-up substantielle entre les versions, de sorte que vous ne soyez jamais obligé d'adopter de nouvelles fonctionnalités juste pour obtenir des correctifs de sécurité - il y a toujours un chevauchement pendant lequel vous pouvez continuer à utiliser l'ancien ESR. tout en testant le nouvel ESR pour se préparer au basculement nécessaire à l'avenir.

Bogues d'usurpation de confiance

Les deux vulnérabilités spécifiques et apparemment liées qui fait le Haute category ce mois-ci étaient :

  • CVE-2022-38472 : Usurpation de la barre d'adresse via la gestion des erreurs XSLT.
  • CVE-2022-38473 : Les documents XSLT d'origine croisée auraient hérité des autorisations du parent.

Comme vous pouvez l'imaginer, ces bugs signifient qu'un contenu malveillant récupéré sur un site par ailleurs innocent pourrait aboutir à ce que Firefox vous incite à faire confiance à des pages Web que vous ne devriez pas.

Dans le premier bug, Firefox pourrait être incité à présenter le contenu provenant d'un site inconnu et non fiable comme s'il provenait d'une URL hébergée sur un serveur que vous connaissiez déjà et en qui vous aviez confiance.

Dans le deuxième bug, le contenu Web d'un site X non fiable affiché dans une sous-fenêtre (un IFRAME, court pour cadre en ligne) au sein d'un site de confiance Y…

…pourrait se retrouver avec des autorisations de sécurité « empruntées » à la fenêtre parent Y que vous ne vous attendez pas à ce qu’elles soient transmises (et que vous n’accorderiez pas sciemment) à X, y compris l’accès à votre webcam et à votre microphone.

Que faire?

Sur les ordinateurs de bureau ou portables, accédez à d’aide > À propos de Firefox pour vérifier si vous êtes à jour.

Si non, le Qui sommes-nous La fenêtre vous invitera à télécharger et à activer la mise à jour nécessaire – vous recherchez 104.0ou ESR 102.2ou ESR 91.13, selon la série de versions sur laquelle vous vous trouvez.

Sur votre téléphone portable, vérifiez auprès Google Play au sein de l’ App Store d'Apple pour vous assurer que vous disposez de la dernière version.

Sous Linux et les BSD, si vous comptez sur la version de Firefox fournie par votre distribution, vérifiez auprès de votre créateur de distribution la dernière version qu'il a publiée.

Bonne mise à jour !

Horodatage:

Plus de Sécurité nue