עדכון אבטחה חודשי מתון מפיירפוקס - אבל עדכן בכל זאת

הגיע הזמן לעדכון פיירפוקס המתוכנן של החודש (טכנית, עם 28 ימים בין עדכונים, לפעמים אתה מקבל שני עדכונים בחודש קלנדרי אחד, אבל יולי 2022 הוא לא אחד מהחודשים האלה)...

...והחדשות הטובות הן שה הבאגים הגרועים ביותר ברשימה, שמקבלים קטגוריית סיכון של גָבוֹהַ, הם אלה שמצאה מוזילה עצמה באמצעות כלים אוטומטיים לציד באגים, והתחברו יחד תחת שני מספרי CVE:

• CVE-2022-36320: בטיחות זיכרון באגים תוקנו בפיירפוקס 103.
• CVE-2022-2505: בטיחות זיכרון באגים תוקנו ב-Firefox 103 ו-102.1.

הסיבה שהבאגים הללו מחולקים לשתי קבוצות היא שמוזילה תומכת רשמית בשני טעמים של הדפדפן שלה.

יש את הגרסה העדכנית והטובה ביותר, כרגע 103, הכוללת את כל התכונות העדכניות ביותר ותיקוני אבטחה רלוונטיים.

ויש את הטעם Extended Support Release (ESR), שמסתנכרן עם התכונות בגרסה העדכנית כל כמה חודשים, אבל בין לבין מקבל עדכוני אבטחה בלבד, ובכך מביא תכונות חדשות רק לאחר שהיו זמינות להתנסות ב- גרסת מיינסטרים לזמן מה.

כפי שאתה יכול לדמיין, מנהלי מערכת וצוותי IT שתומכים בפיירפוקס בעבודה אוהבים לעתים קרובות ESRs כי זה אומר שהם לא צריכים להטיל תכונות חדשות על המשתמשים שלהם (או לקבל את קריאות התמיכה הבלתי נמנעות לגבי אפשרויות תפריט חדשות, אייקונים שונים והתנהגות שונה ) ללא אזהרה טובה.

כמעט תמיד יש לפחות כמה באגים שתוקנו בגרסת פיירפוקס המיינסטרים שאינם מופיעים ב-ESR, ולכן לא ניתן לתקן שם, כי הבאגים חדשים, הוצגו בקוד החדש שנוסף כדי לתמוך בתכונות החדשות .

זוהי סיבה נוספת לכך שמנהלי מערכת מסוימים אוהבים תוכנה בסגנון ESR, בהתחשב בכך שהקוד בגרסאות אלו נחשף באופן גנטי לבדיקה מהחיים האמיתיים למשך זמן רב יותר, מבלי לפגר בתיקוני אבטחה.

למעשה, מוזילה שומרת על שתי גרסאות ESR, כך שתוכלו לנסות את גרסת ה-ESR הקודמת והנוכחית בו-זמנית לפני ביצוע המעבר, ובכך לעולם לא תצטרכו להשתמש בגרסה המתקדמת של רשת הייצור שלנו כלל. (ראה להלן את מספרי הגרסאות העדכניות ביותר של כל הגרסאות הנתמכות כעת.)

מטעה את הקליקים שלך

מתוך ששת הבאגים האחרים ברשימת התיקונים, אנחנו חושבים ששניים מסקרנים וחשובים, מכיוון ששניהם נותנים לתוקפים הזדמנות להערים עליך ללחוץ על משהו שהוא לא מה שהוא נראה:

• CVE-2022-36319: זיוף מיקום עכבר עם טרנספורמציה של CSS. במילים פשוטות, הבאג הזה אומר שאתר ממולכד עלול להשאיר את מצביע העכבר שלך במקומו במקום הלא נכון בחלון הדפדפן, כך שלחיצה על העכבר שלך לא תירשם היכן שאתה מצפה. טריק זה ידוע בדרך כלל בשם קליקים, שבו רמאי גורם לך לחשוב שאתה לוחץ במקום בטוח, כשלמעשה אתה לוחץ על קישור או כפתור שבכוונה היית נמנעת אילו רק ידעת. בצורתה הפשוטה ביותר, חטיפת קליקים יכולה ליצור לייקים מזויפים של מדיה חברתית או הופעות לא רצויות של מודעות. במקרה הגרוע, זה יכול להוביל אותך ישירות לנזק מהתקפות דיוג או הורדות מזויפות שאינן ברורות, גם אם אתה מחפש אותן.
• CVE-2022-36314: פתיחה מקומית .lnk קבצים עלולים לגרום עומסי רשת בלתי צפויים. LNK קבצים הם קיצורי דרך של Windows, שהם שלם פחית תולעי אבטחה בזכות עצמם. (א .LNK קובץ יכול להפנות אותך בצורה ערמומית לקובץ מסוג X, כגון .EXE, תוך שהוא מציג את עצמו עם אייקון מסוג Y, כגון .PDF.) במקרה זה, קישור אינטרנט שציין מקומי .LNK קובץ, יכול, אם תלחץ, להפנות אותך לקובץ המאוחסן במקום כלשהו ברשת. למרות שאין הצעה שניתן להשתמש בנתונים שנאספו בדרך זו לביצוע קוד מרחוק (במילים אחרות, לביצוע שינויים לא מורשים, כולל השתלת תוכנות זדוניות), אתה יכול בקלות להטעות אותך לסמוך על תוכן מרוחק מתוך רושם מוטעה שמדובר בנתונים מקומיים . כל בקשת רשת דולפת כמה מידע לאדם שמנהל את השרת בקצה השני, לכן חשוב שהדפדפן שלך ייתן לך מושג מדויק לאן כל קישור שאתה לוחץ עליו יוביל אותך.

למד עוד על קיצורי דרך ותוכנות זדוניות

מה לעשות?

כרגיל, עבור אל עֶזרָה > אודות Firefox ולראות אם התיבה הקופצת אומרת לך Firefox is up to date או מציע לך כפתור הניתן ללחיצה שכותרתו [Update to X].

הפעם, הגרסה שאתה מחפש היא 103.0 (אם אתה משתמש ב- גרסת מיינסטרים), ESR 102.1 (אם אתה ב- גרסת ESR העדכנית ביותר), או ESR 91.12 (אם אתה ב- טעם ESR העתיק ביותר).

כפי שהסברנו בעבר, אך חושבים שכדאי להזכיר זאת שוב, שני המספרים במזהי השחרור של ESR מצטרפים יחדיו כדי לציין את המהדורה המרכזית שאליה הם תואמים מבחינת עדכוני אבטחה.

אז, בהתחשב בעובדה שגרסת המיינסטרים הנוכחית היא 103, אתה יכול לדעת במהירות מאשר 102.1 ESR (102+1 = 103) ו 91.12 ESR (91+12 = 103) הם המהדורות העדכניות ביותר בשושלות שלהן.