Pembaruan keamanan bulanan ringan dari Firefox – tetapi tetap perbarui

Sudah waktunya untuk pembaruan Firefox terjadwal bulan ini (secara teknis, dengan 28 hari antara pembaruan, Anda terkadang mendapatkan dua pembaruan dalam satu bulan kalender, tetapi Juli 2022 bukan salah satu dari bulan itu)…

…dan kabar baiknya adalah bahwa bug terburuk yang terdaftar, yang mendapatkan kategori risiko High, adalah yang ditemukan oleh Mozilla sendiri menggunakan alat pemburu bug otomatis, dan digabungkan menjadi dua nomor CVE catchall:

• CVE-2022-36320: Keamanan memori bug diperbaiki di Firefox 103.
• CVE-2022-2505: Keamanan memori bug diperbaiki di Firefox 103 dan 102.1.

Alasan mengapa bug ini dibagi menjadi dua kelompok adalah karena Mozilla secara resmi mendukung dua jenis browsernya.

Ada versi terbaru dan terbaik, saat ini 103, yang memiliki semua fitur terbaru dan perbaikan keamanan yang relevan.

Dan ada rasa Extended Support Release (ESR), yang disinkronkan dengan fitur di versi terbaru setiap beberapa bulan, tetapi di antaranya hanya mendapatkan pembaruan keamanan, sehingga menghadirkan fitur baru hanya setelah tersedia untuk dicoba di versi mainstream untuk beberapa waktu.

Seperti yang dapat Anda bayangkan, sysadmin dan tim TI yang mendukung Firefox di tempat kerja sering menyukai ESR karena itu berarti mereka tidak perlu menambahkan fitur baru pada pengguna mereka sendiri (atau menerima panggilan dukungan yang tak terhindarkan tentang opsi menu baru, ikon berbeda, dan perilaku yang dimodifikasi ) tanpa peringatan yang baik.

Hampir selalu ada setidaknya beberapa bug yang diperbaiki di versi Firefox mainstream yang tidak muncul di ESR, dan dengan demikian tidak dapat diperbaiki di sana, karena bug tersebut baru, diperkenalkan dalam kode baru yang ditambahkan untuk mendukung fitur baru .

Ini adalah alasan lain mengapa beberapa sysadmin menyukai perangkat lunak bergaya ESR, mengingat bahwa kode dalam versi tersebut secara umum telah terpapar pengawasan kehidupan nyata lebih lama, tanpa tertinggal dalam patch keamanan.

Faktanya, Mozilla mempertahankan dua versi ESR, sehingga Anda dapat mencoba versi ESR sebelumnya dan saat ini secara bersamaan sebelum beralih, sehingga tidak perlu menggunakan versi mutakhir jaringan produksi Anda sama sekali. (Lihat di bawah untuk nomor versi terbaru dari semua versi yang saat ini didukung.)

Menyesatkan klik Anda

Dari enam bug lainnya di daftar tambalan, kami pikir dua bug menarik dan penting, karena keduanya memberi penyerang kesempatan untuk mengelabui Anda agar mengklik sesuatu yang tidak seperti kelihatannya:

• CVE-2022-36319: Spoofing Posisi Mouse dengan transformasi CSS. Sederhananya, bug ini berarti bahwa situs web jebakan dapat membuat penunjuk tetikus Anda tetap berada di posisinya di tempat yang salah di jendela browser, sehingga mengklik mouse Anda tidak akan terdaftar di tempat yang Anda harapkan. Trik ini umumnya dikenal sebagai pembajakan klik, di mana scammer membuat Anda berpikir Anda mengeklik di suatu tempat yang aman, padahal sebenarnya Anda mengeklik tautan atau tombol yang sengaja Anda hindari jika saja Anda tahu. Dalam bentuknya yang paling sederhana, clickjacking dapat merekayasa suka media sosial palsu atau tayangan iklan yang tidak diinginkan. Paling buruk, itu dapat membawa Anda langsung ke dalam bahaya dari serangan phishing atau unduhan palsu yang tidak jelas, bahkan jika Anda mencarinya.
• CVE-2022-36314: Pembukaan lokal .lnk file dapat menyebabkan beban jaringan yang tidak terduga. LNK file Pintasan Windows, yang merupakan keseluruhan sekaleng worm keamanan dalam hak mereka sendiri. (SEBUAH .LNK file dapat secara diam-diam mengarahkan Anda ke file tipe X, seperti .EXE, sambil menampilkan dirinya dengan ikon tipe Y, seperti .PDF.) Dalam hal ini, tautan web yang ditentukan lokal .LNK file, jika diklik, dapat mengarahkan Anda ke file yang disimpan di suatu tempat di jaringan. Meskipun tidak ada saran bahwa data yang diambil dengan cara ini dapat digunakan untuk eksekusi kode jarak jauh (dengan kata lain, untuk membuat perubahan yang tidak sah, termasuk menanamkan malware), Anda dapat dengan mudah ditipu untuk memercayai konten jarak jauh dengan kesan keliru bahwa itu adalah data lokal . Setiap permintaan jaringan bocor beberapa informasi kepada orang yang menjalankan server di ujung yang lain, jadi penting bagi browser Anda untuk memberi Anda gambaran yang akurat tentang ke mana setiap tautan yang Anda klik akan membawa Anda.

PELAJARI LEBIH LANJUT TENTANG PINTANG DAN PERANGKAT LUNAK

Apa yang harus dilakukan?

Seperti biasa, pergi ke Bantuan > Tentang Firefox dan lihat apakah kotak popup memberi tahu Anda Firefox is up to date atau menawarkan tombol yang dapat diklik berlabel [Update to X].

Kali ini, versi yang kamu cari adalah 103.0 (jika Anda menggunakan versi utama), ESR 102.1 (jika Anda berada di versi ESR terbaru), atau ESR 91.12 (jika Anda berada di rasa ESR tertua).

Seperti yang telah kami jelaskan sebelumnya, tetapi perlu disebutkan lagi, dua angka di pengidentifikasi rilis ESR ditambahkan bersama untuk menunjukkan rilis utama yang cocok dengan mereka dalam hal pembaruan keamanan.

Jadi, mengingat versi mainstream saat ini adalah 103, Anda dapat dengan cepat mengetahuinya daripada 102.1 ESR (102+1 = 103) dan 91.12 ESR (91+12 = 103) adalah rilis terbaru di garis keturunan masing-masing.