Łagodna comiesięczna aktualizacja zabezpieczeń od Firefoksa — ale i tak zaktualizuj

Czas na zaplanowaną na ten miesiąc aktualizację Firefoksa (technicznie rzecz biorąc, z 28-dniową przerwą między aktualizacjami, czasami dostajesz dwie aktualizacje w jednym miesiącu kalendarzowym, ale lipiec 2022 nie jest jednym z tych miesięcy)…

…a dobrą wiadomością jest to, że najgorsze wymienione błędy, które otrzymują kategorię ryzyka Wysoki, to te znalezione przez samą Mozillę za pomocą automatycznych narzędzi do wykrywania błędów i połączone razem pod dwoma numerami CVE catchall:

• CVE-2022-36320: Bezpieczeństwo pamięci błędy naprawione w Firefoksie 103.
• CVE-2022-2505: Bezpieczeństwo pamięci błędy naprawione w Firefoksie 103 i 102.1.

Powodem, dla którego te błędy są podzielone na dwie grupy, jest to, że Mozilla oficjalnie obsługuje dwie wersje swojej przeglądarki.

Istnieje najnowsza i najlepsza wersja, obecnie 103, która ma wszystkie najnowsze funkcje i odpowiednie poprawki bezpieczeństwa.

Jest też wersja Extended Support Release (ESR), która co kilka miesięcy synchronizuje się z funkcjami w najnowszej wersji, ale w międzyczasie otrzymuje tylko aktualizacje zabezpieczeń, dzięki czemu nowe funkcje są wprowadzane dopiero po udostępnieniu ich do wypróbowania w wersja mainstreamowa od jakiegoś czasu.

Jak możesz sobie wyobrazić, administratorzy i zespoły IT, którzy wspierają Firefoksa w pracy, często lubią ESR, ponieważ oznacza to, że nie muszą narzucać nowych funkcji swoim użytkownikom (lub przyjmować nieuniknione wezwania pomocy dotyczące nowych opcji menu, różnych ikon i zmodyfikowanego zachowania ) bez dobrego ostrzeżenia.

Prawie zawsze jest przynajmniej kilka błędów naprawionych w głównej wersji Firefoksa, które nie pojawiają się w ESR, a zatem nie można ich tam naprawić, ponieważ błędy są nowe, wprowadzone w nowym kodzie dodanym w celu obsługi nowych funkcji .

Jest to kolejny powód, dla którego niektórzy administratorzy lubią oprogramowanie w stylu ESR, biorąc pod uwagę, że kod w tych wersjach był genetycznie wystawiony na dłużej niższą analizę w rzeczywistych warunkach, bez opóźnień w stosowaniu łatek bezpieczeństwa.

W rzeczywistości Mozilla zachowuje dwie wersje ESR, dzięki czemu możesz wypróbować poprzednią i obecną wersję ESR w tym samym czasie przed dokonaniem przełączenia, dzięki czemu nigdy nie będziesz musiał korzystać z najnowocześniejszej wersji naszej sieci produkcyjnej. (Poniżej znajdują się najnowsze numery wersji wszystkich aktualnie obsługiwanych wersji).

Wprowadzanie w błąd kliknięć

Uważamy, że z pozostałych sześciu błędów na liście łatek dwa są intrygujące i ważne, ponieważ oba dają atakującym szansę skłonienia cię do kliknięcia czegoś, co nie jest tym, na co wygląda:

• CVE-2022-36319: Spoofing pozycji myszy za pomocą przekształceń CSS. Mówiąc najprościej, ten błąd oznacza, że ​​witryna z pułapką może pozostawić wskaźnik myszy w pozycji w złym miejscu w oknie przeglądarki, aby kliknięcie myszą nie zarejestrowało się w oczekiwanym miejscu. Ta sztuczka jest powszechnie znana jako klikanie, gdzie oszust sprawia, że ​​myślisz, że klikasz w bezpieczne miejsce, podczas gdy w rzeczywistości klikasz link lub przycisk, którego celowo byś unikał, gdybyś tylko wiedział. W najprostszej formie clickjacking może stworzyć fałszywe polubienia w mediach społecznościowych lub niechciane wyświetlenia reklam. W najgorszym przypadku może bezpośrednio narazić Cię na ataki phishingowe lub fałszywe pobrania, które nie są oczywiste, nawet jeśli ich szukasz.
• CVE-2022-36314: Otwarcie lokalne .lnk pliki mogą spowodować nieoczekiwane obciążenia sieci. LNK pliki są Skróty Windows, które stanowią całość puszka robaków bezpieczeństwa w ich własnym prawie. (A .LNK plik może podstępnie przekierować Cię do pliku typu X, takiego jak .EXE, prezentując się ikoną typu Y, na przykład .PDF.) W tym przypadku link do strony internetowej, który określa lokalny .LNK plik, może, po kliknięciu, przekierować Cię do pliku przechowywanego gdzieś w sieci. Chociaż nic nie wskazuje na to, że pobrane w ten sposób dane mogłyby zostać użyte do zdalnego wykonania kodu (innymi słowy, do wprowadzania nieautoryzowanych zmian, w tym do wszczepiania złośliwego oprogramowania), można łatwo zostać oszukanym, by zaufać zdalnej zawartości pod błędnym wrażeniem, że były to dane lokalne . Wszelkie wycieki żądań sieciowych kilka informacje do osoby obsługującej serwer po drugiej stronie, dlatego ważne jest, aby Twoja przeglądarka dokładnie wskazywała, dokąd zaprowadzi Cię każdy kliknięty link.

DOWIEDZ SIĘ WIĘCEJ O SKRÓTACH I ZŁOŚLIWYM OPROGRAMOWANIU

Co robić?

Jak zwykle przejdź do Pomoc > O programie Firefox i zobacz, czy wyskakujące okienko mówi ci Firefox is up to date lub oferuje klikalny przycisk oznaczony [Update to X].

Tym razem wersja, której szukasz, to 103.0 (jeśli używasz wersja z głównego nurtu), ESR 102.1 (jeśli jesteś na najnowsza wersja ESR), lub ESR 91.12 (jeśli jesteś na najstarszy smak ESR).

Jak wyjaśniliśmy wcześniej, ale myślę, że warto wspomnieć jeszcze raz, dwie liczby w identyfikatorach wydania ESR sumują się, aby wskazać główne wydanie, z którym pasują pod względem aktualizacji bezpieczeństwa.

Tak więc, biorąc pod uwagę, że aktualna wersja głównego nurtu to 103, możesz szybko powiedzieć niż 102.1 ESR (102+1 = 103) i 91.12 ESR (91+12 = 103) to najnowsze wydania w swoich liniach.