Milde maandelijkse beveiligingsupdate van Firefox – maar toch updaten

Het is tijd voor de geplande Firefox-update van deze maand (technisch gezien krijg je met 28 dagen tussen updates soms twee updates in één kalendermaand, maar juli 2022 is niet een van die maanden)…

…en het goede nieuws is dat de ergste bugs vermeld, die een risicocategorie krijgen van Hoge, zijn die gevonden door Mozilla zelf met behulp van geautomatiseerde bug-hunting-tools, en samengevoegd onder twee catchall CVE-nummers:

• CVE-2022-36320: Geheugenbeveiliging bugs verholpen in Firefox103.
• CVE-2022-2505: Geheugenbeveiliging bugs verholpen in Firefox 103 en 102.1.

De reden dat deze bugs in twee groepen zijn verdeeld, is dat Mozilla officieel twee smaken van zijn browser ondersteunt.

Er is de nieuwste en beste versie, momenteel 103, die de nieuwste functies en relevante beveiligingsoplossingen heeft.

En er is de Extended Support Release (ESR)-smaak, die om de paar maanden wordt gesynchroniseerd met de functies in de nieuwste versie, maar tussendoor alleen beveiligingsupdates krijgt, waardoor nieuwe functies pas worden geïntroduceerd nadat ze beschikbaar zijn geweest om uit te proberen in de mainstream-versie voor enige tijd.

Zoals u zich kunt voorstellen, houden systeembeheerders en IT-teams die Firefox op het werk ondersteunen, vaak van ESR's omdat dit betekent dat ze hun eigen gebruikers geen nieuwe functies hoeven op te dringen (of de onvermijdelijke ondersteuningsoproepen over nieuwe menu-opties, andere pictogrammen en aangepast gedrag ) zonder goede waarschuwing.

Er zijn bijna altijd op zijn minst een paar bugs opgelost in de reguliere Firefox-versie die niet in de ESR verschijnen en dus daar niet kunnen worden opgelost, omdat de bugs nieuw zijn, geïntroduceerd in de nieuwe code die is toegevoegd om de nieuwe functies te ondersteunen .

Dit is nog een reden waarom sommige systeembeheerders van ESR-achtige software houden, aangezien de code in die versies over het algemeen langer is blootgesteld aan real-life controle, zonder achter te blijven bij beveiligingspatches.

Mozilla behoudt in feite twee ESR-versies, zodat u de vorige en de huidige ESR-versies tegelijkertijd kunt proberen voordat u overstapt, zodat u nooit de allernieuwste versie van uw productienetwerk hoeft te gebruiken. (Zie hieronder voor de nieuwste versienummers van alle momenteel ondersteunde versies.)

Uw klikken misleiden

Van de andere zes bugs op de patchlijst denken we dat er twee intrigerend en belangrijk zijn, omdat ze allebei aanvallers de kans geven om je te misleiden om op iets te klikken dat niet is wat het lijkt:

• CVE-2022-36319: Spoofing van muispositie met CSS-transformaties. Simpel gezegd, deze bug betekent dat een website met boobytraps je muisaanwijzer kan laten staan op de verkeerde plek in het browservenster, zodat klikken met uw muis niet wordt geregistreerd waar u verwacht. Deze truc is algemeen bekend als: clickjacking, waarbij een oplichter u laat denken dat u ergens veilig klikt, terwijl u in feite op een link of knop klikt die u opzettelijk zou hebben vermeden als u dit had geweten. In zijn eenvoudigste vorm kan clickjacking nep-likes op sociale media of ongewenste advertentievertoningen veroorzaken. In het slechtste geval kan het u rechtstreeks schade berokkenen door phishing-aanvallen of valse downloads die niet voor de hand liggend zijn, zelfs als u erop uitkijkt.
• CVE-2022-36314: Lokaal openen .lnk bestanden kunnen veroorzaken onverwachte netwerkbelastingen. LNK bestanden zijn Windows-snelkoppelingen, die een geheel zijn blikje beveiligingswormen in hun eigen recht. (EEN .LNK bestand kan je stiekem doorverwijzen naar een bestand van het type X, zoals .EXE, terwijl het zichzelf presenteert met een pictogram van het type Y, zoals .PDF.) In dit geval een weblink die een lokale .LNK bestand, kan, als erop wordt geklikt, u in plaats daarvan omleiden naar een bestand dat ergens op het netwerk is opgeslagen. Hoewel er geen suggestie is dat de gegevens die op deze manier worden opgehaald, kunnen worden gebruikt voor het uitvoeren van externe code (met andere woorden, om ongeautoriseerde wijzigingen aan te brengen, inclusief het implanteren van malware), zou u gemakkelijk kunnen worden misleid om externe inhoud te vertrouwen onder de verkeerde indruk dat het lokale gegevens waren . Elk netwerkverzoek lekt sommige informatie aan de persoon die de server aan de andere kant runt, dus het is belangrijk dat uw browser u een nauwkeurig idee geeft van waar elke link waarop u klikt u naartoe brengt.

LEER MEER OVER SNELKOPPELINGEN EN MALWARE

Wat te doen?

Ga zoals gewoonlijk naar Help > Over Firefox en kijk of het pop-upvenster u dat vertelt Firefox is up to date of biedt u een klikbare knop met het label [Update to X].

Deze keer is de versie die je zoekt 103.0 (als je de gebruikt mainstream versie), ESR 102.1 (als je op de meest recente ESR-versie), of ESR 91.12 (als je op de oudste ESR-smaak).

Zoals we eerder hebben uitgelegd, maar het is het vermelden waard, de twee getallen in de ESR-release-ID's tellen bij elkaar op om de mainstream-release aan te geven waarmee ze overeenkomen in termen van beveiligingsupdates.

Dus, aangezien de huidige mainstream-versie is 103, kun je snel zien dan 102.1 ESR's (102+1 = 103) en 91.12 ESR's (91+12 = 103) zijn de meest recente releases in hun respectievelijke geslachten.