最近のアップデート アップルのSafari & Google Chrome すでに実際に使用されていた謎のゼロデイ エクスプロイトを修正したため、大きな話題になりました。
しかし今週は、最新の XNUMX 週間ごとの Firefox アップデートも見られました。 いつものように落ちた 最後に予定されていたフル バージョン番号の増分リリースから XNUMX 週間後の火曜日。
私たちは今までこのアップデートについて書いていませんでした。なぜなら、良いニュースがあるからです…
…レベルの興味深く重要な修正がいくつかありましたが、 ハイ、ゼロデイはありませんでした。 クリティカル 今月のバグ。
メモリの安全性に関するバグ
いつものように、Mozilla チームは XNUMX つを割り当てました。 包括的な CVE 番号 ファジングなどのプロアクティブな手法を使用して見つけて修正したバグには、バグのあるコードが自動的に欠陥がないか調べられ、文書化され、パッチが適用されます。誰かがそれらのバグが悪用される可能性があるかどうかを判断するのを待つ必要はありません。
- CVE-2022-38477 バージョン 102 以降のコードに基づく Firefox ビルドのみに影響するバグをカバーします。これはメイン バージョンで使用されるコードベースであり、現在は に更新されています。 104.0、および主要な延長サポート リリース バージョンであり、現在は ESR102.2.
- CVE-2022-38478 バージョン 91 にさかのぼる Firefox コードに存在する追加のバグをカバーします。 ESR91.13.
いつものように、Mozilla は次のような簡単な声明を出すのに十分平易に話します。
これらのバグのいくつかは、メモリ破損の証拠を示しており、十分な努力をすれば、これらのバグの一部を悪用して任意のコードを実行できた可能性があると推測されます。
ESRの謎を解き明かす
以前に説明したように、 Firefox拡張サポートリリース 保守的なホーム ユーザーや、機能の更新や機能の変更を遅らせることを好む企業のシステム管理者を対象としています。
ESR のバージョン番号を組み合わせることで、使用している機能セットと、そのバージョンが公開されてからのセキュリティ アップデートの数がわかります。
だから、 ESR102.2、102+2 = 104 (現在の最先端バージョン) です。
同様に、 ESR91.13、91 + 13 = 104 であり、バージョン 91 は約 XNUMX 年前の機能セットにまだ戻っていますが、セキュリティ パッチに関する限り最新であることを明確にしています。
いつでも XNUMX つの ESR がある理由は、バージョン間にかなりの倍増期間を提供するためです。そのため、セキュリティ修正を取得するためだけに新しい機能を採用することに行き詰まることがありません。古い ESR を使用し続けることができるオーバーラップが常に存在します。新しい ESR を試して、将来の必要なスイッチオーバーに備えます。
トラストスプーフィングのバグ
明らかに関連している XNUMX つの特定の脆弱性は、 作った ハイ カテゴリ 今月は:
- CVE-2022-38472: XSLT エラー処理によるアドレスバーのスプーフィング。
- CVE-2022-38473: クロスオリジン XSLT ドキュメントは、親の権限を継承していました。
ご想像のとおり、これらのバグは、無害に見えるサイトから取得された不正なコンテンツが、Firefox にだまされて、本来すべきではない Web ページを信頼するように仕向けられる可能性があることを意味します。
最初のバグでは、Firefox は、未知の信頼されていないサイトから提供されたコンテンツを、あたかもあなたが既に知っていて信頼しているサーバーでホストされている URL から来たかのように表示するように誘惑される可能性があります。
XNUMX 番目のバグでは、信頼できないサイト X からの Web コンテンツがサブウィンドウに表示されます ( IFRAME、の略 インライン フレーム) 信頼できるサイト内 Y…
…最終的に、Web カメラやマイクへのアクセスを含め、X に渡されるとは思わない (そして、故意に付与しない) 親ウィンドウ Y から「借用」されたセキュリティ アクセス許可になる可能性があります。
何をするか?
デスクトップまたはラップトップでは、 カスタマーサービス > Firefoxについて 最新かどうかを確認します。
そうでない場合、 私たちについて ウィンドウが表示され、必要なアップデートをダウンロードしてアクティブ化するように求められます - あなたが探している 104.0または ESR102.2または ESR91.13、使用しているリリース シリーズによって異なります。
携帯電話でご確認ください Google Playで または AppleのApp Store 最新バージョンであることを確認します。
Linux および BSD で、ディストリビューションによってパッケージ化された Firefox のバージョンに依存している場合は、ディストリビューションのメーカーに、公開されている最新バージョンを確認してください。
ハッピーパッチ!
![シーズン 3 第125 話: セキュリティ ハードウェアにセキュリティ ホールがある場合 [音声 + テキスト]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep125-when-security-hardware-has-security-holes-audio-text-300x156.png "シーズン 3 第125 話: セキュリティ ハードウェアにセキュリティ ホールがある場合 [音声 + テキスト]")
