Aggiornamento di sicurezza mensile moderato da Firefox, ma aggiorna comunque

È giunto il momento dell'aggiornamento di Firefox programmato per questo mese (tecnicamente, con 28 giorni tra gli aggiornamenti, a volte si ricevono due aggiornamenti in un mese di calendario, ma luglio 2022 non è uno di quei mesi)...

…e la buona notizia è che i peggiori bug elencati, a cui viene assegnata una categoria di rischio Alta, sono quelli trovati da Mozilla stessa utilizzando strumenti automatizzati di ricerca dei bug e raggruppati sotto due numeri CVE catchall:

• CVE-2022-36320: Sicurezza della memoria bug corretti in Firefox 103.
• CVE-2022-2505: Sicurezza della memoria bug corretti in Firefox 103 e 102.1.

Il motivo per cui questi bug sono divisi in due gruppi è che Mozilla supporta ufficialmente due versioni del suo browser.

Esiste la versione più recente e migliore, attualmente la 103, che include tutte le funzionalità più recenti e le correzioni di sicurezza pertinenti.

E c'è la versione Extended Support Release (ESR), che si sincronizza con le funzionalità dell'ultima versione ogni pochi mesi, ma nel frattempo riceve solo aggiornamenti di sicurezza, introducendo così nuove funzionalità solo dopo che sono state disponibili per essere provate nella versione versione mainstream per qualche tempo.

Come puoi immaginare, gli amministratori di sistema e i team IT che supportano Firefox al lavoro spesso apprezzano gli ESR perché significa che non devono imporre nuove funzionalità ai propri utenti (o rispondere alle inevitabili chiamate di supporto su nuove opzioni di menu, icone diverse e comportamenti modificati ) senza un buon preavviso.

Ci sono quasi sempre almeno alcuni bug risolti nella versione principale di Firefox che non appaiono nell'ESR, e quindi non possono essere risolti lì, perché i bug sono nuovi, introdotti nel nuovo codice aggiunto per supportare le nuove funzionalità .

Questo è un altro motivo per cui ad alcuni amministratori di sistema piace il software in stile ESR, dato che il codice in quelle versioni è stato generalmente esposto al controllo della vita reale per un periodo più lungo, senza restare indietro con le patch di sicurezza.

Infatti, Mozilla conserva due versioni ESR, in modo che tu possa provare la versione ESR precedente e quella attuale contemporaneamente prima di effettuare il passaggio, quindi non avrai mai bisogno di utilizzare la versione all'avanguardia sulla tua rete di produzione. (Vedi di seguito per gli ultimi numeri di versione di tutte le versioni attualmente supportate.)

Fuorvianti i tuoi clic

Degli altri sei bug nell'elenco delle patch, riteniamo che due siano intriganti e importanti, perché entrambi danno agli aggressori la possibilità di indurti a fare clic su qualcosa che non è quello che sembra:

• CVE-2022-36319: Spoofing della posizione del mouse con trasformazioni CSS. In poche parole, questo bug significa che un sito Web con trappole esplosive potrebbe lasciare il puntatore del mouse posizionato nel posto sbagliato nella finestra del browser, in modo che facendo clic con il mouse non venga registrato il punto previsto. Questo trucco è generalmente noto come clickjacking, dove un truffatore ti fa credere che stai facendo clic in un posto sicuro, quando in realtà stai facendo clic su un collegamento o un pulsante che avresti deliberatamente evitato se solo lo avessi saputo. Nella sua forma più semplice, il clickjacking può creare falsi Mi piace sui social media o impressioni pubblicitarie indesiderate. Nel peggiore dei casi, può farti subire danni diretti da attacchi di phishing o download falsi che non sono evidenti, anche se li stai cercando.
• CVE-2022-36314: Apertura locale .lnk i file potrebbero causare carichi di rete imprevisti. LNK i file sono Scorciatoie di Windows, che sono un tutt'uno barattolo di worm di sicurezza a pieno titolo. (UN .LNK file può reindirizzarti subdolamente a un file di tipo X, come .EXE, mentre si presenta con un'icona di tipo Y, come ad esempio .PDF.) In questo caso, un collegamento Web che specificava un file . locale.LNK file, potrebbe, se cliccato, reindirizzarti a un file archiviato da qualche parte nella rete. Anche se non vi è alcun suggerimento che i dati recuperati in questo modo possano essere utilizzati per l'esecuzione di codice remoto (in altre parole, per apportare modifiche non autorizzate, incluso l'impianto di malware), potresti essere facilmente indotto a fidarti del contenuto remoto con l'errata impressione che si tratti di dati locali. . Qualsiasi richiesta di rete perde alcuni informazioni alla persona che gestisce il server dall'altra parte, quindi è importante che il tuo browser ti dia un'idea precisa di dove ti porterà ogni collegamento su cui fai clic.

SCOPRI DI PIÙ SU SCORCIATOIE E MALWARE

Cosa fare?

Come al solito, vai a Aiuto > Informazioni su Firefox e vedi se la finestra popup te lo dice Firefox is up to date o ti offre un pulsante cliccabile etichettato [Update to X].

Questa volta, la versione che stai cercando è 103.0 (se stai utilizzando il versione tradizionale), VES 102.1 (se sei su versione ESR più recente), o VES 91.12 (se sei su sapore ESR più antico).

Come abbiamo spiegato in precedenza, ma pensiamo che valga la pena menzionarlo ancora, i due numeri negli identificatori della versione ESR si sommano per denotare la versione principale a cui corrispondono in termini di aggiornamenti di sicurezza.

Quindi, dato che l'attuale versione mainstream lo è 103, puoi dirlo rapidamente 102.1 VES (102+1 = 103) e 91.12 VES (91+12 = 103) sono le versioni più recenti nei rispettivi lignaggi.