Pembaruan terbaru untuk apple Safari dan Google Chrome menjadi berita utama besar karena mereka memperbaiki eksploitasi zero-day misterius yang sudah digunakan di alam liar.
Tetapi minggu ini juga melihat pembaruan Firefox empat mingguan terbaru, yang turun seperti biasa pada hari Selasa, empat minggu setelah rilis full-version-number-increment terakhir yang dijadwalkan.
Kami belum menulis tentang pembaruan ini sampai sekarang karena, yah, karena kabar baiknya adalah…
…bahwa meskipun ada beberapa perbaikan yang menarik dan penting dengan tingkat High, tidak ada hari nol, atau bahkan apapun Kritis bug bulan ini.
Bug keamanan memori
Seperti biasa, tim Mozilla menugaskan dua nomor CVE menyeluruh untuk bug yang mereka temukan-dan-perbaiki menggunakan teknik proaktif seperti fuzzing, di mana kode buggy secara otomatis diperiksa untuk mengetahui kekurangannya, didokumentasikan, dan ditambal tanpa menunggu seseorang untuk mengetahui seberapa besar kemungkinan bug tersebut dapat dieksploitasi:
- CVE-2022-38477 mencakup bug yang hanya memengaruhi build Firefox berdasarkan kode versi 102 dan yang lebih baru, yang merupakan basis kode yang digunakan oleh versi utama, sekarang diperbarui ke 104.0, dan versi Rilis Dukungan Perpanjangan utama, yang sekarang ESR 102.2.
- CVE-2022-38478 mencakup bug tambahan yang ada di kode Firefox kembali ke versi 91, karena itulah dasar dari Rilis Dukungan Perpanjangan sekunder, yang sekarang berdiri di ESR 91.13.
Seperti biasa, Mozilla cukup polos untuk membuat pernyataan sederhana bahwa:
Beberapa bug ini menunjukkan bukti kerusakan memori dan kami menganggap bahwa dengan upaya yang cukup, beberapa di antaranya dapat dieksploitasi untuk menjalankan kode arbitrer.
ESR demistifikasi
Seperti yang telah kami jelaskan sebelumnya, Rilis Dukungan Perpanjangan Firefox ditujukan untuk pengguna rumahan konservatif dan sysadmin perusahaan yang lebih suka menunda pembaruan fitur dan perubahan fungsionalitas, selama mereka tidak melewatkan pembaruan keamanan dengan melakukannya.
Nomor versi ESR digabungkan untuk memberi tahu Anda kumpulan fitur apa yang Anda miliki, ditambah berapa banyak pembaruan keamanan yang telah ada sejak versi itu keluar.
Sehingga untuk ESR 102.2, kami memiliki 102+2 = 104 (versi terdepan saat ini).
Demikian pula untuk ESR 91.13, kami memiliki 91+13 = 104, untuk memperjelas bahwa meskipun versi 91 masih kembali pada set fitur dari sekitar setahun yang lalu, itu up-to-the-moment sejauh menyangkut patch keamanan.
Alasan ada dua ESR setiap saat adalah untuk menyediakan periode double-up yang substansial antar versi, sehingga Anda tidak pernah terjebak dengan mengambil fitur baru hanya untuk mendapatkan perbaikan keamanan – selalu ada tumpang tindih di mana Anda dapat tetap menggunakan ESR lama saat mencoba ESR baru untuk bersiap-siap untuk peralihan yang diperlukan di masa mendatang.
Bug pemalsuan kepercayaan
Dua kerentanan spesifik dan tampaknya terkait yang terbuat High kategori bulan ini adalah:
- CVE-2022-38472: Spoofing bilah alamat melalui penanganan kesalahan XSLT.
- CVE-2022-38473: Dokumen XSLT Lintas Asal akan mewarisi izin induk.
Seperti yang dapat Anda bayangkan, bug ini berarti bahwa konten jahat yang diambil dari situs yang tampak tidak bersalah dapat berakhir dengan Firefox menipu Anda agar memercayai halaman web yang seharusnya tidak Anda percayai.
Pada bug pertama, Firefox dapat dibujuk untuk menyajikan konten yang disajikan dari situs yang tidak dikenal dan tidak tepercaya seolah-olah berasal dari URL yang dihosting di server yang sudah Anda kenal dan percayai.
Pada bug kedua, konten web dari situs X yang tidak tepercaya ditampilkan di sub-jendela (dan IFRAME, kependekan dari bingkai sebaris) dalam situs tepercaya Y…
…bisa berakhir dengan izin keamanan yang “dipinjam” dari jendela induk Y yang tidak Anda harapkan untuk diteruskan (dan yang tidak akan Anda berikan secara sadar) ke X, termasuk akses ke webcam dan mikrofon Anda.
Apa yang harus dilakukan?
Di desktop atau laptop, buka Bantuan > Tentang Firefox untuk memeriksa apakah Anda up-to-date.
Jika tidak, Tentang Kami jendela akan meminta Anda untuk mengunduh dan mengaktifkan pembaruan yang diperlukan – yang Anda cari 104.0, atau ESR 102.2, atau ESR 91.13, tergantung pada seri rilis mana Anda berada.
Di ponsel Anda, periksa dengan Google Play atau itu Apple App Store untuk memastikan Anda memiliki versi terbaru.
Di Linux dan BSD, jika Anda mengandalkan versi Firefox yang dikemas oleh distribusi Anda, tanyakan kepada pembuat distro Anda untuk versi terbaru yang mereka terbitkan.
Selamat menambal!
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- Firefox
- firewall
- Kaspersky
- malware
- mcafe
- Mozilla
- Keamanan Telanjang
- BerikutnyaBLOC
- tambalan
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- kerentanan
- website security
- zephyrnet.dll
![S3 Ep130: Buka pintu ruang garasi, HAL [Audio + Text]](https://platoblockchain.com/wp-content/uploads/2023/04/s3-ep130-open-the-garage-bay-doors-hal-audio-text-300x157.png "S3 Ep130: Buka pintu ruang garasi, HAL [Audio + Text]")
![S3 Ep114: Mencegah ancaman siber – hentikan sebelum mereka menghentikan Anda! [Audio + Teks] Kecerdasan Data PlatoBlockchain. Pencarian Vertikal. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/ns-1200-generic-featured-image-blue-digits-360x188.png "S3 Ep114: Mencegah ancaman dunia maya – hentikan mereka sebelum mereka menghentikan Anda! [Audio + Teks]")
