Ostatnie aktualizacje do Apple Safari i Google Chrome trafiły na duże nagłówki, ponieważ naprawiły tajemnicze exploity dnia zerowego, które były już wykorzystywane na wolności.
Ale w tym tygodniu pojawiła się także najnowsza czterotygodniowa aktualizacja Firefoksa, która: spadła jak zwykle we wtorek, cztery tygodnie po ostatnim zaplanowanym wydaniu z przyrostem numeru pełnej wersji.
Do tej pory nie pisaliśmy o tej aktualizacji, ponieważ cóż, ponieważ dobrą wiadomością jest…
…że chociaż było kilka intrygujących i ważnych poprawek o poziomie Wysoki, nie było żadnych dni zerowych, ani nawet żadnych Krytyczny błędy w tym miesiącu.
Błędy bezpieczeństwa pamięci
Jak zwykle zespół Mozilli wyznaczył dwa nadrzędne numery CVE na błędy, które znaleźli i naprawili za pomocą proaktywnych technik, takich jak fuzzing, gdzie błędny kod jest automatycznie sprawdzany pod kątem błędów, dokumentowany i łatany bez czekania, aż ktoś zorientuje się, jak bardzo te błędy mogą być wykorzystane:
- CVE-2022-38477 obejmuje błędy, które dotyczą tylko kompilacji Firefoksa opartych na kodzie wersji 102 i nowszych, który jest bazą kodu używaną przez wersję główną, teraz zaktualizowaną do 104.0oraz podstawową wersję rozszerzonej wersji wsparcia, która jest teraz ESR 102.2.
- CVE-2022-38478 obejmuje dodatkowe błędy, które istnieją w kodzie Firefoksa wracając do wersji 91, ponieważ jest to podstawa drugorzędnej wersji rozszerzonej pomocy technicznej, która obecnie znajduje się na ESR 91.13.
Jak zwykle, Mozilla jest na tyle prosta, by wypowiedzieć proste stwierdzenie, że:
Niektóre z tych błędów wskazywały na uszkodzenie pamięci i przypuszczamy, że przy wystarczającym wysiłku niektóre z nich mogły zostać wykorzystane do uruchomienia dowolnego kodu.
ESR zdemistyfikowany
Jak wyjaśniliśmy wcześniej, Firefox Extended Support Release jest skierowany do konserwatywnych użytkowników domowych i administratorów korporacyjnych, którzy wolą opóźniać aktualizacje funkcji i zmiany funkcji, o ile nie przegapią w ten sposób aktualizacji zabezpieczeń.
Numery wersji ESR łączą się, aby powiedzieć, jaki masz zestaw funkcji, a także ile aktualizacji zabezpieczeń pojawiło się od czasu wydania tej wersji.
Więc dla ESR 102.2, mamy 102+2 = 104 (aktualna wersja wiodąca).
Podobnie dla ESR 91.13, mamy 91+13 = 104, aby było jasne, że chociaż wersja 91 wciąż ma zestaw funkcji sprzed około roku, jest aktualny, jeśli chodzi o poprawki bezpieczeństwa.
Powodem, dla którego w dowolnym momencie są dwa ESR, jest zapewnienie znacznego podwojenia okresu między wersjami, dzięki czemu nigdy nie będziesz musiał korzystać z nowych funkcji tylko po to, aby uzyskać poprawki bezpieczeństwa – zawsze zachodzi nakładanie się, podczas którego możesz nadal korzystać ze starego ESR podczas wypróbowywania nowego ESR, aby przygotować się na konieczną zmianę w przyszłości.
Błędy podszywania się pod zaufanie
Dwie konkretne i pozornie powiązane luki, które: wykonane Wysoki kategoria w tym miesiącu były:
- CVE-2022-38472: Sfałszowanie paska adresu przez obsługę błędów XSLT.
- CVE-2022-38473: Dokumenty XSLT z różnych źródeł odziedziczyłyby uprawnienia rodzica.
Jak możesz sobie wyobrazić, te błędy oznaczają, że nieuczciwa zawartość pobrana z skądinąd niewinnie wyglądającej strony może skończyć się tym, że Firefox oszuka Cię w zaufaniu stronom internetowym, których nie powinieneś.
W pierwszym błędzie Firefox mógł zostać zwabiony do prezentowania treści udostępnianych z nieznanej i niezaufanej witryny tak, jakby pochodziła z adresu URL hostowanego na serwerze, który już znasz i któremu ufasz.
W drugim błędzie zawartość sieciowa z niezaufanych stron X pokazana w oknie podrzędnym IFRAME, skrót od ramka wbudowana) w zaufanej witrynie Y…
…może skończyć się uprawnieniami bezpieczeństwa „pożyczonymi” z nadrzędnego okna Y, których nie spodziewałbyś się przekazać (i których świadomie nie przyznasz) X, w tym dostęp do kamery internetowej i mikrofonu.
Co robić?
Na komputerach stacjonarnych lub laptopach przejdź do Pomoc > O programie Firefox aby sprawdzić, czy jesteś na bieżąco.
Jeśli nie, to O nas okno poprosi Cię o pobranie i aktywację potrzebnej aktualizacji – której szukasz 104.0lub ESR 102.2lub ESR 91.13, w zależności od serii wydań, w której się znajdujesz.
Sprawdź w telefonie komórkowym Google play albo Apple App Store aby upewnić się, że masz najnowszą wersję.
W systemie Linux i BSD, jeśli polegasz na wersji Firefoksa spakowanej przez twoją dystrybucję, skontaktuj się z producentem dystrybucji, aby uzyskać najnowszą opublikowaną wersję.
Miłego łatania!
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- Firefox
- zapora
- Kaspersky
- malware
- Mcafee
- Mozilla
- Nagie bezpieczeństwo
- NexBLOC
- Łata
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- wrażliwość
- zabezpieczenia stron internetowych
- zefirnet
![S3 Odc. 125: Gdy sprzęt zabezpieczający ma luki w zabezpieczeniach [Audio + Tekst]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep125-when-security-hardware-has-security-holes-audio-text-300x156.png "S3 Odc. 125: Gdy sprzęt zabezpieczający ma luki w zabezpieczeniach [Audio + Tekst]")
