Firefox 104 er ute – ingen kritiske feil, men oppdater likevel

Nylige oppdateringer til Apple Safari og Google Chrome skapte store overskrifter fordi de fikset mystiske nulldagers bedrifter som allerede ble brukt i naturen.

Men denne uken så også den siste fire-ukentlige Firefox-oppdateringen, som falt som vanlig på tirsdag, fire uker etter den siste planlagte utgivelsen med full versjonsnummer-økning.

Vi har ikke skrevet om denne oppdateringen før nå fordi, vel, fordi de gode nyhetene er...

…det selv om det var et par spennende og viktige rettelser med et nivå på Høy, det var ingen null-dager, eller til og med noen Kritisk feil denne måneden.

Minnesikkerhetsfeil

Som vanlig tildelte Mozilla-teamet to overordnede CVE-tall til feil som de fant og fikset ved hjelp av proaktive teknikker som fuzzing, der buggy-kode automatisk undersøkes for feil, dokumenteres og lappes uten å vente på at noen skal finne ut hvor utnyttbare disse feilene kan være:

• CVE-2022-38477 dekker feil som kun påvirker Firefox-bygg basert på koden til versjon 102 og nyere, som er kodebasen som brukes av hovedversjonen, nå oppdatert til 104.0, og den primære Extended Support Release-versjonen, som er nå ESR 102.2.
• CVE-2022-38478 dekker flere feil som finnes i Firefox-koden som går tilbake til versjon 91, fordi det er grunnlaget for den sekundære utvidede støtteutgivelsen, som nå står på ESR 91.13.

Som vanlig er Mozilla tydelig nok til å gi den enkle uttalelsen at:

Noen av disse feilene viste bevis på minnekorrupsjon, og vi antar at med nok innsats kunne noen av disse blitt utnyttet til å kjøre vilkårlig kode.

ESR avmystifisert

Som vi har forklart før, Firefox Extended Support Release er rettet mot konservative hjemmebrukere og bedriftsadministratorer som foretrekker å utsette funksjonsoppdateringer og funksjonalitetsendringer, så lenge de ikke går glipp av sikkerhetsoppdateringer ved å gjøre det.

ESR-versjonsnumrene kombineres for å fortelle deg hvilket funksjonssett du har, pluss hvor mange sikkerhetsoppdateringer det har vært siden den versjonen kom ut.

Så for ESR 102.2, har vi 102+2 = 104 (den nåværende ledende versjonen).

Tilsvarende for ESR 91.13, vi har 91+13 = 104, for å gjøre det klart at selv om versjon 91 fortsatt er tilbake på funksjonssettet for omtrent et år siden, er det oppdatert når det gjelder sikkerhetsoppdateringer.

Grunnen til at det er to ESR-er til enhver tid er for å gi en betydelig dobbel-up-periode mellom versjoner, slik at du aldri blir sittende fast med nye funksjoner bare for å få sikkerhetsrettinger – det er alltid en overlapping der du kan fortsette å bruke den gamle ESR-en. mens du prøver ut den nye ESR for å gjøre deg klar for den nødvendige overgangen i fremtiden.

Trust-spoofing bugs

De to spesifikke og tilsynelatende relaterte sårbarhetene som laget Høy kategori denne måneden var:

• CVE-2022-38472: Forfalskning av adresselinjen via XSLT-feilhåndtering.
• CVE-2022-38473: Cross-origin XSLT Documents ville ha arvet foreldrenes tillatelser.

Som du kan forestille deg, betyr disse feilene at useriøst innhold hentet fra et ellers uskyldig utseende nettsted kan ende opp med at Firefox lurer deg til å stole på nettsider som du ikke burde.

I den første feilen kunne Firefox lokkes til å presentere innhold servert fra et ukjent og ikke-klarert nettsted som om det hadde kommet fra en URL på en server som du allerede kjente og stolte på.

I den andre feilen vises nettinnhold fra et uklarert nettsted X i et undervindu (en IFRAME, kort for innebygd ramme) på et pålitelig nettsted Y...

…kan ende opp med sikkerhetstillatelser «lånt» fra overordnet vindu Y som du ikke forventer å bli gitt videre (og som du ikke med vitende vil gi) til X, inkludert tilgang til webkameraet og mikrofonen.

Hva gjør jeg?

På stasjonære eller bærbare datamaskiner, gå til Hjelp > Om Firefox for å sjekke om du er oppdatert.

Hvis ikke, Om oss vinduet vil be deg om å laste ned og aktivere den nødvendige oppdateringen – du leter etter 104.0eller ESR 102.2eller ESR 91.13, avhengig av hvilken utgivelsesserie du er på.

På mobiltelefonen, sjekk med Google Play eller Apple App Store for å sikre at du har den nyeste versjonen.

På Linux og BSD-ene, hvis du stoler på versjonen av Firefox som er pakket av distribusjonen din, sjekk med distroprodusenten din for den nyeste versjonen de har publisert.

Lykke til med lappingen!

---