Mise à jour de sécurité mensuelle légère de Firefox - mais mise à jour quand même

Il est temps pour la mise à jour programmée de Firefox de ce mois-ci (techniquement, avec 28 jours entre les mises à jour, vous obtenez parfois deux mises à jour en un mois civil, mais juillet 2022 n'est pas l'un de ces mois)…

… et la bonne nouvelle est que le pires bugs répertoriés, qui obtiennent une catégorie de risque de Haute, sont ceux trouvés par Mozilla lui-même à l'aide d'outils de recherche de bogues automatisés, et regroupés sous deux numéros CVE fourre-tout :

• CVE-2022-36320 : Sécurité mémoire bugs corrigés dans Firefox 103.
• CVE-2022-2505 : Sécurité mémoire bugs corrigés dans Firefox 103 et 102.1.

La raison pour laquelle ces bogues sont divisés en deux groupes est que Mozilla prend officiellement en charge deux versions de son navigateur.

Il existe la dernière et la plus grande version, actuellement 103, qui possède toutes les dernières fonctionnalités et les correctifs de sécurité pertinents.

Et il y a la saveur Extended Support Release (ESR), qui se synchronise avec les fonctionnalités de la dernière version tous les quelques mois, mais entre les deux, n'obtient que des mises à jour de sécurité, n'apportant ainsi de nouvelles fonctionnalités qu'après qu'elles ont été disponibles pour être essayées dans le version grand public pendant un certain temps.

Comme vous pouvez l'imaginer, les administrateurs système et les équipes informatiques qui prennent en charge Firefox au travail aiment souvent les ESR, car cela signifie qu'ils n'ont pas à imposer de nouvelles fonctionnalités à leurs propres utilisateurs (ou à prendre les inévitables appels d'assistance concernant les nouvelles options de menu, les différentes icônes et le comportement modifié). ) sans bon avertissement.

Il y a presque toujours au moins quelques bogues corrigés dans la version grand public de Firefox qui n'apparaissent pas dans l'ESR, et ne peuvent donc pas y être corrigés, car les bogues sont nouveaux, introduits dans le nouveau code ajouté pour prendre en charge les nouvelles fonctionnalités .

C'est une autre raison pour laquelle certains administrateurs système aiment les logiciels de type ESR, étant donné que le code de ces versions a généralement été exposé à un examen approfondi plus longtemps, sans retard sur les correctifs de sécurité.

En fait, Mozilla conserve deux versions ESR, de sorte que vous pouvez essayer les versions ESR précédente et actuelle en même temps avant de faire le changement, sans jamais avoir besoin d'utiliser la version de pointe sur votre réseau de production. (Voir ci-dessous pour les derniers numéros de version de toutes les versions actuellement prises en charge.)

Tromper vos clics

Sur les six autres bogues de la liste des correctifs, nous pensons que deux sont intrigants et importants, car ils donnent tous deux aux attaquants une chance de vous inciter à cliquer sur quelque chose qui n'est pas ce qu'il semble :

• CVE-2022-36319 : Usurpation de la position de la souris avec les transformations CSS. En termes simples, ce bogue signifie qu'un site Web piégé pourrait laisser le pointeur de votre souris positionné au mauvais endroit dans la fenêtre du navigateur, de sorte que cliquer sur votre souris ne s'enregistrera pas là où vous l'attendez. Cette astuce est généralement connue sous le nom de clickjacking, où un escroc vous fait croire que vous cliquez dans un endroit sûr, alors qu'en fait vous cliquez sur un lien ou un bouton que vous auriez délibérément évité si vous l'aviez su. Dans sa forme la plus simple, le détournement de clics peut générer de faux likes sur les réseaux sociaux ou des impressions publicitaires indésirables. Au pire, cela peut vous mener directement à des attaques de phishing ou à de faux téléchargements qui ne sont pas évidents, même si vous les surveillez.
• CVE-2022-36314 : Ouverture locale .lnk les fichiers pourraient causer charges réseau inattendues. LNK les fichiers sont Raccourcis Windows, qui forment un tout boîte de vers de sécurité à part entière. (UN .LNK file peut vous rediriger sournoisement vers un fichier de type X, tel que .EXE, en se présentant avec une icône de type Y, telle que .PDF.) Dans ce cas, un lien Web qui spécifiait un fichier .LNK fichier, pourrait, si vous cliquez dessus, vous rediriger vers un fichier stocké quelque part sur le réseau à la place. Bien qu'il n'y ait aucune suggestion que les données récupérées de cette manière pourraient être utilisées pour l'exécution de code à distance (en d'autres termes, pour apporter des modifications non autorisées, y compris l'implantation de logiciels malveillants), vous pourriez facilement être amené à faire confiance au contenu distant sous l'impression erronée qu'il s'agissait de données locales. . Toute fuite de requête réseau quelques informations à la personne qui gère le serveur à l'autre bout, il est donc important que votre navigateur vous donne une idée précise de l'endroit où chaque lien sur lequel vous cliquez vous mènera.

EN SAVOIR PLUS SUR LES RACCOURCIS ET LES MALWARE

Que faire?

Comme d'habitude, rendez-vous sur d’aide > À propos de Firefox et voyez si la boîte de dialogue vous dit Firefox is up to date ou vous propose un bouton cliquable étiqueté [Update to X].

Cette fois, la version que vous recherchez est 103.0 (si vous utilisez le version grand public), ESR 102.1 (si vous êtes sur le version ESR la plus récente), ou ESR 91.12 (si vous êtes sur le la plus ancienne saveur ESR).

Comme nous l'avons déjà expliqué, mais pensez que cela vaut la peine de le mentionner à nouveau, les deux nombres dans les identifiants de version ESR s'additionnent pour indiquer la version principale à laquelle ils correspondent en termes de mises à jour de sécurité.

Donc, étant donné que la version grand public actuelle est 103, vous pouvez rapidement dire que 102.1 RSE (102+1 = 103) et 91.12 RSE (91+12 = 103) sont les sorties les plus récentes dans leurs lignées respectives.