Aggiornamenti recenti a apple Safari ed Google Chrome hanno fatto grande notizia perché hanno risolto misteriosi exploit zero-day che erano già utilizzati in natura.
Ma questa settimana è stato pubblicato anche l'ultimo aggiornamento quadrimestrale di Firefox, che caduto come al solito martedì, quattro settimane dopo l'ultimo rilascio programmato dell'incremento del numero di versione completa.
Non abbiamo scritto di questo aggiornamento fino ad ora perché, beh, perché la buona notizia è...
…che nonostante ci fossero un paio di soluzioni intriganti e importanti con un livello di Alta, non c'erano giorni zero, e nemmeno nessuno critico bug questo mese.
Bug di sicurezza della memoria
Come al solito, il team Mozilla ne ha assegnati due numeri CVE generali ai bug che hanno trovato e corretto utilizzando tecniche proattive come il fuzzing, in cui il codice difettoso viene automaticamente analizzato per individuare eventuali difetti, documentato e corretto senza aspettare che qualcuno capisca quanto potrebbero essere sfruttabili quei bug:
- CVE-2022-38477 copre i bug che colpiscono solo le build di Firefox basate sul codice della versione 102 e successive, che è la base di codice utilizzata dalla versione principale, ora aggiornata a 104.0e la versione principale della versione con supporto esteso, che è ora VES 102.2.
- CVE-2022-38478 copre ulteriori bug esistenti nel codice di Firefox risalenti alla versione 91, perché questa è la base della versione secondaria del supporto esteso, che ora si trova a VES 91.13.
Come al solito, Mozilla è abbastanza schietto da fare la semplice dichiarazione che:
Alcuni di questi bug mostravano segni di corruzione della memoria e presumiamo che con uno sforzo sufficiente alcuni di questi avrebbero potuto essere sfruttati per eseguire codice arbitrario.
L'ESR demistificata
Come abbiamo spiegato prima, Firefox Extended Support Release è rivolto agli utenti domestici conservatori e agli amministratori di sistema aziendali che preferiscono ritardare gli aggiornamenti delle funzionalità e le modifiche alle funzionalità, purché così facendo non perdano gli aggiornamenti di sicurezza.
I numeri di versione ESR si combinano per dirti quale set di funzionalità disponi, oltre a quanti aggiornamenti di sicurezza sono stati rilasciati da quella versione.
Così per VES 102.2, abbiamo 102+2 = 104 (l'attuale versione all'avanguardia).
Allo stesso modo, per VES 91.13, abbiamo 91+13 = 104, per chiarire che sebbene la versione 91 abbia ancora le funzionalità di circa un anno fa, è aggiornata per quanto riguarda le patch di sicurezza.
Il motivo per cui ci sono due ESR in qualsiasi momento è quello di fornire un sostanziale periodo di raddoppio tra le versioni, in modo da non essere mai costretto ad adottare nuove funzionalità solo per ottenere correzioni di sicurezza: c'è sempre una sovrapposizione durante la quale puoi continuare a utilizzare il vecchio ESR mentre si prova la nuova ESR per prepararsi al necessario passaggio in futuro.
Bug di spoofing della fiducia
Le due vulnerabilità specifiche e apparentemente correlate that fatto il Alta categoria questo mese sono stati:
- CVE-2022-38472: Spoofing della barra degli indirizzi tramite la gestione degli errori XSLT.
- CVE-2022-38473: I documenti XSLT multiorigine avrebbero ereditato le autorizzazioni del genitore.
Come puoi immaginare, questi bug significano che i contenuti non autorizzati recuperati da un sito altrimenti innocuo potrebbero finire con Firefox che ti induce a fidarti di pagine web di cui non dovresti.
Nel primo bug, Firefox poteva essere indotto a presentare contenuti forniti da un sito sconosciuto e non attendibile come se provenissero da un URL ospitato su un server che già conoscevi e di cui ti fidavi.
Nel secondo bug, il contenuto web di un sito non attendibile X veniva mostrato in una sottofinestra (an IFRAME, abbreviazione di cornice in linea) all'interno di un sito attendibile Y…
...potresti ritrovarti con permessi di sicurezza "presi in prestito" dalla finestra principale Y che non ti aspetteresti di trasmettere (e che non concederesti consapevolmente) a X, incluso l'accesso alla webcam e al microfono.
Cosa fare?
Su desktop o laptop, vai a Aiuto > Informazioni su Firefox per verificare se sei aggiornato.
In caso contrario, il Chi siamo ti chiederà di scaricare e attivare l'aggiornamento necessario che stai cercando 104.0, o VES 102.2, o VES 91.13, a seconda della serie di rilascio in cui ti trovi.
Sul tuo cellulare, controlla con Google Play oppure Apple App Store per assicurarti di avere la versione più recente.
Su Linux e BSD, se fai affidamento sulla versione di Firefox confezionata dalla tua distribuzione, verifica con il produttore della distribuzione l'ultima versione che ha pubblicato.
Buona rappezzatura!
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- Firefox
- firewall
- Kaspersky
- il malware
- Mcafee
- Mozilla
- Sicurezza nuda
- NextBLOC
- Toppa
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- vulnerabilità
- sicurezza del sito Web
- zefiro
![S3 Ep130: Apri le porte del garage, HAL [audio + testo]](https://platoblockchain.com/wp-content/uploads/2023/04/s3-ep130-open-the-garage-bay-doors-hal-audio-text-300x157.png "S3 Ep130: Apri le porte del garage, HAL [audio + testo]")
![S3 Ep114: Prevenire le minacce informatiche: fermale prima che siano loro a fermare te! [Audio + Testo] PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/ns-1200-generic-featured-image-blue-digits-360x188.png "S3 Ep114: Prevenire le minacce informatiche: fermale prima che siano loro a fermare te! [Audio + testo]")
