करने के लिए हाल के अपडेट एप्पल सफ़ारी और Google Chrome बड़ी सुर्खियाँ बनीं क्योंकि उन्होंने रहस्यमय शून्य-दिन के कारनामों को तय किया जो पहले से ही जंगली में इस्तेमाल किए जा रहे थे।
लेकिन इस सप्ताह नवीनतम चार-साप्ताहिक फ़ायरफ़ॉक्स अपडेट भी देखा गया, जो हमेशा की तरह गिरा अंतिम अनुसूचित पूर्ण-संस्करण-संख्या-वृद्धि रिलीज़ के चार सप्ताह बाद मंगलवार को।
हमने अभी तक इस अपडेट के बारे में नहीं लिखा है, क्योंकि अच्छी खबर यह है कि…
...कि हालांकि के स्तर के साथ कुछ पेचीदा और महत्वपूर्ण सुधार थे हाई, कोई शून्य-दिन नहीं थे, या यहां तक कि कोई भी आलोचनात्मक इस महीने कीड़े।
मेमोरी सुरक्षा बग
हमेशा की तरह, मोज़िला टीम ने दो assigned व्यापक सीवीई संख्या उन बगों के लिए जिन्हें उन्होंने फ़ज़िंग जैसी सक्रिय तकनीकों का उपयोग करके पाया और तय किया, जहां बग्गी कोड की खामियों के लिए स्वचालित रूप से जांच की जाती है, दस्तावेज किया जाता है, और किसी की प्रतीक्षा किए बिना यह पता लगाया जाता है कि वे बग कितने शोषक हो सकते हैं:
- CVE-2022-38477 संस्करण 102 और बाद के कोड के आधार पर केवल फ़ायरफ़ॉक्स बिल्ड को प्रभावित करने वाले बग को कवर करता है, जो कि मुख्य संस्करण द्वारा उपयोग किया जाने वाला कोडबेस है, जिसे अब अपडेट किया गया है 104.0, और प्राथमिक विस्तारित समर्थन रिलीज़ संस्करण, जो अब है ईएसआर 102.2.
- CVE-2022-38478 अतिरिक्त बग को कवर करता है जो फ़ायरफ़ॉक्स कोड में मौजूद हैं और संस्करण 91 पर वापस जा रहे हैं, क्योंकि यह सेकेंडरी एक्सटेंडेड सपोर्ट रिलीज़ का आधार है, जो अब खड़ा है ईएसआर 91.13.
हमेशा की तरह, मोज़िला सरल उच्चारण करने के लिए पर्याप्त रूप से बोल रहा है कि:
इनमें से कुछ बगों ने स्मृति भ्रष्टाचार का सबूत दिखाया और हम मानते हैं कि पर्याप्त प्रयास के साथ इनमें से कुछ का मनमाने कोड चलाने के लिए शोषण किया जा सकता था।
ईएसआर डीमिस्टीफाइड
जैसा कि हमने पहले समझाया है, फ़ायरफ़ॉक्स विस्तारित समर्थन रिलीज रूढ़िवादी घरेलू उपयोगकर्ताओं और कॉर्पोरेट sysadmins के उद्देश्य से है, जो फीचर अपडेट और कार्यक्षमता परिवर्तनों में देरी करना पसंद करते हैं, जब तक कि वे ऐसा करने से सुरक्षा अपडेट को याद नहीं करते हैं।
ईएसआर संस्करण संख्याएं आपको यह बताने के लिए जोड़ती हैं कि आपके पास कौन सा फीचर सेट है, साथ ही उस संस्करण के आने के बाद से कितने सुरक्षा अपडेट हुए हैं।
के लिए ईएसआर 102.2, हमारे पास 102+2 = 104 (वर्तमान अग्रणी संस्करण) है।
इसी तरह, के लिए ईएसआर 91.13, हमारे पास 91+13 = 104 है, यह स्पष्ट करने के लिए कि हालांकि संस्करण 91 अभी भी लगभग एक साल पहले की सुविधा पर वापस आ गया है, जहां तक सुरक्षा पैच का संबंध है, यह अप-टू-द-पल है।
किसी भी समय दो ईएसआर होने का कारण संस्करणों के बीच पर्याप्त डबल-अप अवधि प्रदान करना है, इसलिए आप कभी भी सुरक्षा सुधार प्राप्त करने के लिए नई सुविधाओं को लेने से नहीं चिपके रहते हैं - हमेशा एक ओवरलैप होता है जिसके दौरान आप पुराने ईएसआर का उपयोग करना जारी रख सकते हैं। भविष्य में आवश्यक स्विचओवर के लिए तैयार होने के लिए नए ईएसआर को आजमाते समय।
ट्रस्ट-स्पूफिंग बग्स
दो विशिष्ट और स्पष्ट रूप से संबंधित कमजोरियां जो बना दिया हाई वर्ग इस महीने थे:
- सीवीई-2022-38472: एक्सएसएलटी त्रुटि प्रबंधन के माध्यम से पता बार स्पूफिंग।
- सीवीई-2022-38473: क्रॉस-ओरिजिनल XSLT दस्तावेज़ों को माता-पिता की अनुमतियाँ विरासत में मिली होंगी।
जैसा कि आप कल्पना कर सकते हैं, इन बगों का अर्थ है कि अन्यथा निर्दोष दिखने वाली साइट से प्राप्त की गई दुष्ट सामग्री फ़ायरफ़ॉक्स के साथ आपको उन वेब पेजों पर भरोसा करने के लिए प्रेरित कर सकती है जो आपको नहीं करने चाहिए।
पहले बग में, फ़ायरफ़ॉक्स को किसी अज्ञात और अविश्वसनीय साइट से प्रस्तुत की गई सामग्री को प्रस्तुत करने का लालच दिया जा सकता था जैसे कि यह किसी ऐसे सर्वर पर होस्ट किए गए URL से आया हो जिसे आप पहले से जानते और विश्वसनीय थे।
दूसरी बग में, एक अविश्वसनीय साइट X की वेब सामग्री को सब-विंडो में दिखाया गया है (a IFRAME, के लिए कम इनलाइन फ्रेम) एक विश्वसनीय साइट के भीतर Y…
…पैरेंट विंडो Y से सुरक्षा अनुमतियां "उधार ली गई" के साथ समाप्त हो सकती हैं, जिसे आप अपने वेबकैम और माइक्रोफ़ोन तक पहुंच सहित X पर पारित होने की उम्मीद नहीं करेंगे (और यह कि आप जानबूझकर अनुदान नहीं देंगे)।
क्या करना है?
डेस्कटॉप या लैपटॉप पर, यहां जाएं मदद > Firefox के बारे में यह जांचने के लिए कि क्या आप अप-टू-डेट हैं।
यदि नहीं, तो About विंडो आपको आवश्यक अपडेट को डाउनलोड और सक्रिय करने के लिए प्रेरित करेगी - आप ढूंढ रहे हैं 104.0या, ईएसआर 102.2या, ईएसआर 91.13, इस पर निर्भर करता है कि आप किस रिलीज़ श्रृंखला पर हैं।
अपने मोबाइल फोन पर, इसके साथ जांचें गूगल प्ले या एप्पल app स्टोर यह सुनिश्चित करने के लिए कि आपको नवीनतम संस्करण मिल गया है।
लिनक्स और बीएसडी पर, यदि आप अपने वितरण द्वारा पैक किए गए फ़ायरफ़ॉक्स के संस्करण पर भरोसा कर रहे हैं, तो अपने डिस्ट्रो निर्माता से उनके द्वारा प्रकाशित नवीनतम संस्करण की जांच करें।
हैप्पी पैचिंग!
- blockchain
- कॉइनजीनियस
- क्रिप्टोकुरेंसी वॉलेट्स
- क्रिप्टोकरंसीज
- साइबर सुरक्षा
- साइबर अपराधी
- साइबर सुरक्षा
- घर की भूमि सुरक्षा का विभाग
- डिजिटल पर्स
- Firefox
- फ़ायरवॉल
- Kaspersky
- मैलवेयर
- McAfee
- मोज़िला
- नग्न सुरक्षा
- नेक्सब्लॉक
- पैच
- प्लेटो
- प्लेटो एआई
- प्लेटो डेटा इंटेलिजेंस
- प्लेटो गेम
- प्लेटोडाटा
- प्लेटोगेमिंग
- वीपीएन
- भेद्यता
- वेबसाइट सुरक्षा
- जेफिरनेट
![S3 Ep125: जब सुरक्षा हार्डवेयर में सुरक्षा छेद हों [ऑडियो + टेक्स्ट]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep125-when-security-hardware-has-security-holes-audio-text-300x156.png "S3 Ep125: जब सुरक्षा हार्डवेयर में सुरक्षा छेद हों [ऑडियो + टेक्स्ट]")
