עדכונים אחרונים ל Apple Safari ו Google Chrome עלו לכותרות גדולות כי הם תיקנו מעללי יום אפס מסתוריים שכבר היו בשימוש בטבע.
אבל השבוע ראה גם את העדכון האחרון של פיירפוקס לארבעה שבועות, אשר ירד כרגיל ביום שלישי, ארבעה שבועות לאחר השחרור האחרון המתוכנן של גרסה מלאה-מספר-תוספת.
לא כתבנו על העדכון הזה עד עכשיו כי, ובכן, כי החדשות הטובות הן...
... שלמרות שהיו כמה תיקונים מסקרנים וחשובים עם רמה של גָבוֹהַ, לא היו ימים אפס, או אפילו ימים קריטי באגים החודש.
באגי בטיחות בזיכרון
כרגיל, צוות מוזילה הקצה שניים מספרי CVE מקיפים לבאגים שהם מצאו ותיקנו באמצעות טכניקות פרואקטיביות כמו fuzzing, שבהן קוד באגי נבדק אוטומטית לאיתור פגמים, מתועד ומתוקן מבלי לחכות שמישהו יבין עד כמה באגים אלה עשויים להיות ניתנים לניצול:
- CVE-2022-38477 מכסה באגים שמשפיעים רק על בניית פיירפוקס המבוססת על הקוד של גרסה 102 ואילך, שהוא בסיס הקוד המשמש את הגרסה הראשית, המעודכן כעת ל 104.0, וגרסת מהדורת התמיכה המורחבת הראשית, שהיא כעת ESR 102.2.
- CVE-2022-38478 מכסה באגים נוספים שקיימים בקוד Firefox חוזר לגרסה 91, כי זה הבסיס של מהדורת התמיכה המורחבת המשנית, שעומדת כעת על ESR 91.13.
כרגיל, מוזילה מדברת דיבורית מספיק כדי לומר את ההצהרה הפשוטה ש:
חלק מהבאגים הללו הראו עדויות לשחיתות זיכרון ואנו מניחים שעם מספיק מאמץ ניתן היה לנצל חלק מהם להפעלת קוד שרירותי.
ESR נמחק
כפי שהסברנו בעבר, אתר מורחבת תמיכה שחרור מיועד למשתמשים ביתיים שמרניים ולמנהלי מערכת ארגוניים המעדיפים לדחות עדכוני תכונות ושינויי פונקציונליות, כל עוד הם לא פוסחים על עדכוני אבטחה בכך.
מספרי גרסאות ה-ESR משתלבים כדי לומר לך איזה ערכת תכונות יש לך, ובנוסף כמה עדכוני אבטחה היו מאז שהגרסה הזו יצאה.
אז, בשביל ESR 102.2, יש לנו 102+2 = 104 (הגרסה העדכנית הנוכחית).
באופן דומה, עבור ESR 91.13, יש לנו 91+13 = 104, כדי להבהיר שלמרות שגרסה 91 עדיין חזרה למערך התכונות מלפני כשנה, היא עדכנית בכל הנוגע לתיקוני אבטחה.
הסיבה שיש שני ESRs בכל עת היא כדי לספק תקופת כפולה משמעותית בין גרסאות, כך שלעולם אינך תקוע בשימוש בתכונות חדשות רק כדי לקבל תיקוני אבטחה - תמיד יש חפיפה שבמהלכה תוכל להמשיך להשתמש ב-ESR הישן תוך כדי ניסיון ה-ESR החדש כדי להתכונן למעבר הנדרש בעתיד.
באגים מזייפים אמון
שתי נקודות התורפה הספציפיות והקשורות כנראה עשה את גָבוֹהַ קטגוריה החודש היו:
- CVE-2022-38472: זיוף בסרגל הכתובות באמצעות טיפול בשגיאות XSLT.
- CVE-2022-38473: מסמכי XSLT חוצי מקורות היו יורשים את ההרשאות של ההורה.
כפי שאתם יכולים לתאר לעצמכם, פירושם של הבאגים הללו הוא שתוכן נוכל שנלקח מאתר תמים למראה עלול להסתיים ב-Firefox שולל אתכם לסמוך על דפי אינטרנט שלא כדאי לכם.
בבאג הראשון, ניתן היה לפתות את פיירפוקס להציג תוכן שהוגש מאתר לא ידוע ולא מהימן כאילו הגיע מכתובת אתר שמתארחת בשרת שכבר הכרתם וסמכתם עליו.
בבאג השני, תוכן אינטרנט מאתר לא מהימן X מוצג בחלון משנה (an IFRAME, קיצור ל מסגרת מוטבעת) בתוך אתר מהימן Y…
... עלולים להסתיים בהרשאות אבטחה "הושאלו" מחלון ההורה Y שלא הייתם מצפים שיעברו (ושלא תעניקו ביודעין) ל-X, כולל גישה למצלמת האינטרנט והמיקרופון שלכם.
מה לעשות?
במחשבים שולחניים או מחשבים ניידים, עבור אל עֶזרָה > אודות Firefox כדי לבדוק אם אתה מעודכן.
אם לא, אודות חלון ינחה אותך להוריד ולהפעיל את העדכון הדרוש - שאתה מחפש 104.0, או ESR 102.2, או ESR 91.13, תלוי באיזו סדרת מהדורה אתה נמצא.
בטלפון הנייד שלך, בדוק עם Play Google או Apple App Store כדי לוודא שיש לך את הגרסה העדכנית ביותר.
ב-Linux וב-BSD, אם אתה מסתמך על גרסת Firefox שנארזה על ידי ההפצה שלך, בדוק עם יצרן ההפצה שלך לגבי הגרסה האחרונה שהם פרסמו.
תיקון שמח!
![S3 Ep101: הפרות של Uber ו-LastPass - האם 2FA הוא כל מה שצריך להיות? [אודיו + טקסט] PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep101-1200-360x188.jpg "S3 Ep101: הפרות של Uber ו-LastPass - האם 2FA הוא כל מה שצריך להיות? [אודיו + טקסט]")
