今月の予定されているFirefoxアップデートの時間です(技術的には、アップデートの間隔が28日で、2022暦月にXNUMXつのアップデートを受け取ることがありますが、XNUMX年XNUMX月はその月のXNUMXつではありません)…
…そして良いニュースは、 リストされている最悪のバグ、のリスクカテゴリを取得します ハイは、自動化されたバグハンティングツールを使用してMozilla自体によって検出され、XNUMXつのキャッチオールCVE番号の下にまとめられたものです。
これらのバグがXNUMXつのグループに分かれている理由は、Mozillaが公式にXNUMX種類のブラウザをサポートしているためです。
最新かつ最高のバージョンがあり、現在103であり、すべての最新機能と関連するセキュリティ修正が含まれています。
また、Extended Support Release(ESR)フレーバーがあります。これは、最新バージョンの機能と数か月ごとに同期しますが、その間にセキュリティアップデートのみが取得されるため、新しい機能は、で試用できるようになった後でのみ導入されます。しばらくの間主流のバージョン。
ご想像のとおり、Firefoxをサポートするシステム管理者やITチームは、ESRのように機能することがよくあります。これは、自分のユーザーに新しい機能を追加する必要がないためです(または、新しいメニューオプション、さまざまなアイコン、変更された動作に関する必然的なサポートコールを受ける必要がありません)。 )適切な警告なし。
ほとんどの場合、FirefoxのメインストリームバージョンではESRに表示されないバグが少なくともいくつか修正されています。バグは新しいため、新しい機能をサポートするために追加された新しいコードで導入されているため、そこで修正することはできません。 。
これは、ESRスタイルのソフトウェアのような一部のシステム管理者が、セキュリティパッチに遅れをとることなく、実際の精査に長い間一般的にさらされていることを考えると、もうXNUMXつの理由です。
実際、MozillaはXNUMXつのESRバージョンを保持しているため、切り替えを行う前に以前のESRバージョンと現在のESRバージョンを同時に試すことができます。したがって、本番ネットワークで最先端のバージョンを使用する必要はまったくありません。 (現在サポートされているすべてのバージョンの最新バージョン番号については、以下を参照してください。)
クリックを誤解させる
パッチリストにある他のXNUMXつのバグのうち、XNUMXつは興味深く重要であると考えています。どちらも、攻撃者にあなたをだまして、見た目とは異なるものをクリックさせる機会を与えるからです。
- CVE-2022-36319: CSS変換を使用したマウス位置のなりすまし。 簡単に言えば、このバグは、ブービートラップされたWebサイトがマウスポインタを置いたままにする可能性があることを意味します 間違った場所で ブラウザウィンドウで、マウスをクリックしても期待した場所に登録されないようにします。 このトリックは一般的にとして知られています クリックジャック、詐欺師があなたが安全な場所をクリックしていると思わせる場合、実際にはリンクやボタンをクリックしているときに、あなただけが知っていれば意図的に避けていたでしょう。 最も単純な形式では、クリックジャッキングは偽のソーシャルメディアのいいねや不要な広告の表示を操作することができます。 最悪の場合、それは、たとえあなたがそれらを探していたとしても、明らかではないフィッシング攻撃や偽のダウンロードから直接あなたを危害に導く可能性があります。
- CVE-2022-36314: ローカルオープニング
.lnkファイルが原因である可能性があります 予期しないネットワーク負荷.LNKファイルです Windowsのショートカット、全体です セキュリティワームの缶 自分の権利で。 (A.LNKファイルは、次のようなタイプXのファイルにこっそりリダイレクトできます。.EXE、次のようなタイプYのアイコンを表示している間.PDF。)この場合、ローカルを指定したWebリンク。LNKファイルをクリックすると、代わりにネットワーク上のどこかに保存されているファイルにリダイレクトされる可能性があります。 この方法でフェッチされたデータがリモートコード実行(つまり、マルウェアの埋め込みなどの不正な変更)に使用される可能性があるという示唆はありませんが、ローカルデータであるという誤った印象の下で、リモートコンテンツを信頼するように簡単にだまされる可能性があります。 。 ネットワークリクエストのリーク 一部 もう一方の端でサーバーを実行している人に情報を提供するため、クリックした各リンクがどこに移動するかをブラウザが正確に把握することが重要です。
ショートカットとマルウェアの詳細
何をするか?
いつものように、 カスタマーサービス > Firefoxについて ポップアップボックスに表示されるかどうかを確認します Firefox is up to date または、ラベルの付いたクリック可能なボタンを提供します [Update to X].
今回、あなたが求めているバージョンは 103.0 (使用している場合 主流バージョン), ESR102.1 (あなたが 最新のESRバージョン)、または ESR91.12 (あなたが 最古のESRフレーバー).
前に説明したように、もう一度言及する価値があると思いますが、ESRリリース識別子のXNUMXつの数字は、セキュリティ更新の観点から一致する主流のリリースを示すために合計されます。
したがって、現在の主流バージョンが 103、あなたはすぐに言うことができます 102.1ESR (102 + 1 = 103)および 91.12ESR (91 + 12 = 103)は、それぞれの系統の最新リリースです。
![シーズン 3 Ep124: いわゆるセキュリティ アプリが不正になるとき [音声 + テキスト]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-300x157.png "シーズン 3 Ep124: いわゆるセキュリティ アプリが不正になるとき [音声 + テキスト]")
![S3 Ep103: スラマーの詐欺師 (およびその他のストーリー) [音声 + テキスト] PlatoBlockchain データ インテリジェンス。垂直検索。あい。](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep103-cover-1200-360x188.png "シーズン 3 Ep103: Slammer の詐欺師 (およびその他のストーリー) [オーディオ + テキスト]")
