Legutóbbi frissítések a Apple Safari és a Google Chrome nagy címlapokra került, mert olyan titokzatos nulladik napi támadásokat javítottak ki, amelyeket már a vadonban is használtak.
De ezen a héten megjelent a legújabb, négyhetes Firefox-frissítés is, amely szokás szerint leesett kedden, négy héttel az utolsó ütemezett teljes verziószámú kiadás után.
Eddig nem írtunk erről a frissítésről, mert a jó hír az…
…hogy bár volt néhány érdekes és fontos javítás egy szinten Magas, nem voltak nulladik napok, de még csak nem is Kritikai hibák ebben a hónapban.
Memória biztonsági hibák
Szokás szerint a Mozilla csapata kettőt jelölt ki átfogó CVE számok olyan hibákra, amelyeket proaktív technikákkal találtak és javítottak ki, mint például a fuzzing, ahol a hibás kód automatikusan megkeresi a hibákat, dokumentálja és kijavítja anélkül, hogy megvárná, hogy valaki rájöjjön, mennyire kihasználhatók ezek a hibák:
- CVE-2022 38477- olyan hibákat takar, amelyek csak a Firefox buildeket érintik a 102-es és újabb verziók kódja alapján, amely a fő verzió által használt kódbázis, most frissítve 104.0, és az elsődleges kiterjesztett támogatási kiadás, amely most ESR 102.2.
- CVE-2022 38478- lefedi a 91-es verzióig visszamenően a Firefox kódban előforduló további hibákat, mivel ez az alapja a másodlagos kiterjesztett támogatási kiadásnak, amely jelenleg ESR 91.13.
Szokás szerint a Mozilla elég világosan beszél ahhoz, hogy kimondja:
Ezen hibák némelyike memóriasérülést mutatott, és feltételezzük, hogy kellő erőfeszítéssel ezek közül néhányat ki lehetett volna használni tetszőleges kód futtatására.
Az ESR demisztifikálva
Ahogy korábban kifejtettük, Firefox kiterjesztett támogatási kiadás A konzervatív otthoni felhasználókat és a vállalati rendszergazdákat célozza meg, akik szívesebben halogatják a funkciók frissítését és a funkcióváltásokat, amennyiben ezzel nem maradnak le a biztonsági frissítésekről.
Az ESR verziószámai együttesen jelzik, hogy milyen szolgáltatáskészlettel rendelkezik, valamint azt, hogy hány biztonsági frissítés történt a verzió megjelenése óta.
Így ESR 102.2, nálunk 102+2 = 104 (a jelenlegi élvonalbeli verzió).
Hasonlóképpen a ESR 91.1391+13 = 104, hogy egyértelművé tegyük, hogy bár a 91-es verzió még mindig az egy évvel ezelőtti funkciókészlettel rendelkezik, a biztonsági javításokat illetően a legmodernebb.
Az ok, amiért mindig két ESR létezik, az az, hogy a verziók között jelentős megkettőzési periódus álljon rendelkezésre, így soha nem kell új funkciókat beszerezni csak a biztonsági javítások érdekében – mindig van átfedés, amely alatt továbbra is használhatja a régi ESR-t. miközben kipróbálta az új ESR-t, hogy felkészüljön a jövőbeni szükséges átállásra.
Bizalomhamisító hibák
A két konkrét és nyilvánvalóan összefüggő sebezhetőség, amely tette a Magas kategória ebben a hónapban ezek voltak:
- CVE-2022-38472: A címsáv hamisítása XSLT hibakezelésen keresztül.
- CVE-2022-38473: A több eredetű XSLT-dokumentumok örökölték volna a szülő engedélyeit.
Amint el tudja képzelni, ezek a hibák azt jelentik, hogy egy egyébként ártatlannak tűnő webhelyről lekért gazember tartalom a Firefoxhoz vezethet, hogy megbízzon olyan weboldalakban, amelyekben nem kellene.
Az első hiba esetén a Firefox rávehető volt arra, hogy egy ismeretlen és nem megbízható webhelyről kiszolgált tartalmat mutasson be, mintha egy olyan kiszolgálón tárolt URL-ről származna, amelyet már ismert és megbízható.
A második hiba esetén egy nem megbízható X webhely webtartalma egy alablakban jelenik meg (an IFRAME, röviden beépített keret) egy megbízható webhelyen belül Y…
…az Y szülőablakból „kölcsönzött” biztonsági engedélyeket kaphat, amelyeket nem várna el (és amelyeket tudatosan nem adna meg) X számára, beleértve a webkamerához és a mikrofonhoz való hozzáférést.
Mit kell tenni?
Asztali számítógépeken vagy laptopokon lépjen a következőre: Segítség > A Firefox böngészőről hogy ellenőrizze, hogy naprakész-e.
Ha nem, akkor a Rólunk ablak kéri, hogy töltse le és aktiválja a szükséges frissítést – amit keres 104.0vagy ESR 102.2vagy ESR 91.13, attól függően, hogy melyik kiadási sorozatban vagy.
Mobiltelefonján ellenőrizze a következővel: A Google Play vagy a Apple App Store hogy biztosan a legújabb verzióval rendelkezzen.
Linuxon és a BSD-ken, ha a terjesztés által becsomagolt Firefox-verzióra támaszkodik, ellenőrizze a disztribúció készítőjénél az általuk közzétett legújabb verziót.
Boldog foltozást!
- blockchain
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- belbiztonsági osztály
- digitális pénztárcák
- Firefox
- tűzfal
- Kaspersky
- malware
- McAfee
- Mozilla
- Meztelen biztonság
- NexBLOC
- Tapasz
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- VPN
- sebezhetőség
- A honlap biztonsága
- zephyrnet
![S3 Ep130: Nyissa ki a garázsajtókat, HAL [hang + szöveg]](https://platoblockchain.com/wp-content/uploads/2023/04/s3-ep130-open-the-garage-bay-doors-hal-audio-text-300x157.png "S3 Ep130: Nyissa ki a garázsajtókat, HAL [hang + szöveg]")
![S3 Ep114: Preventing cyberthreats – stop them before they stop you! [Audio + Text] PlatoBlockchain Data Intelligence. Vertical Search. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/ns-1200-generic-featured-image-blue-digits-360x188.png "S3 Ep114: A kiberfenyegetések megelőzése – állítsd meg őket, mielőtt megállítanának téged! [Hang + szöveg]")
