Atualizações recentes para apple Safari e Google Chrome fizeram grandes manchetes porque eles consertaram misteriosas explorações de dia zero que já estavam sendo usadas na natureza.
Mas esta semana também viu a última atualização de quatro semanas do Firefox, que caiu como de costume na terça-feira, quatro semanas após o último lançamento programado de incremento de número de versão completa.
Nós não escrevemos sobre essa atualização até agora porque, bem, porque a boa notícia é…
... que embora houvesse algumas correções intrigantes e importantes com um nível de Alta, não havia nenhum dia zero, nem mesmo nenhum Crítico erros este mês.
Erros de segurança de memória
Como de costume, a equipe da Mozilla atribuiu dois números CVE abrangentes a bugs que eles encontraram e corrigiram usando técnicas proativas, como fuzzing, onde o código com bugs é automaticamente investigado em busca de falhas, documentado e corrigido sem esperar que alguém descubra o quão exploráveis esses bugs podem ser:
- CVE-2022-38477 cobre bugs que afetam apenas compilações do Firefox com base no código da versão 102 e posterior, que é a base de código usada pela versão principal, agora atualizada para 104.0, e a versão principal do Extended Support Release, que agora é ESR 102.2.
- CVE-2022-38478 cobre bugs adicionais que existem no código do Firefox desde a versão 91, porque essa é a base do Extended Support Release secundário, que agora está em ESR 91.13.
Como de costume, a Mozilla é clara o suficiente para fazer o simples pronunciamento de que:
Alguns desses bugs mostraram evidências de corrupção de memória e presumimos que com esforço suficiente alguns deles poderiam ter sido explorados para executar código arbitrário.
ESR desmistificado
Como explicamos antes, Lançamento do suporte estendido do Firefox é destinado a usuários domésticos conservadores e administradores de sistemas corporativos que preferem adiar atualizações de recursos e alterações de funcionalidade, desde que não percam atualizações de segurança ao fazê-lo.
Os números de versão do ESR se combinam para informar qual conjunto de recursos você possui, além de quantas atualizações de segurança houve desde que essa versão foi lançada.
Então, para ESR 102.2, temos 102+2 = 104 (a versão de ponta atual).
Da mesma forma, para ESR 91.13, temos 91+13 = 104, para deixar claro que, embora a versão 91 ainda esteja de volta ao conjunto de recursos de cerca de um ano atrás, está atualizada no que diz respeito aos patches de segurança.
A razão pela qual existem dois ESRs a qualquer momento é fornecer um período de duplicação substancial entre as versões, para que você nunca fique preso a novos recursos apenas para obter correções de segurança - sempre há uma sobreposição durante a qual você pode continuar usando o antigo ESR enquanto experimenta o novo ESR para se preparar para a mudança necessária no futuro.
Bugs de falsificação de confiança
As duas vulnerabilidades específicas e aparentemente relacionadas que fez o Alta categoria este mês foram:
- CVE-2022-38472: Falsificação da barra de endereços via tratamento de erros XSLT.
- CVE-2022-38473: Documentos XSLT de origem cruzada teriam herdado as permissões do pai.
Como você pode imaginar, esses bugs significam que o conteúdo desonesto obtido de um site aparentemente inocente pode acabar fazendo com que o Firefox o induza a confiar em páginas da web que você não deveria.
No primeiro bug, o Firefox pode ser atraído para apresentar conteúdo de um site desconhecido e não confiável como se tivesse vindo de um URL hospedado em um servidor que você já conhecia e confiava.
No segundo bug, o conteúdo da web de um site X não confiável mostrado em uma subjanela (uma IFRAME, abreviatura de quadro embutido) dentro de um site confiável Y…
…pode acabar com permissões de segurança “emprestadas” da janela pai Y que você não esperaria que fossem passadas (e que você não concederia conscientemente) para X, incluindo acesso à sua webcam e microfone.
O que fazer?
Em desktops ou laptops, acesse Ajuda > Sobre o Firefox para verificar se você está atualizado.
Caso contrário, o Sobre janela solicitará que você baixe e ative a atualização necessária - você está procurando 104.0ou ESR 102.2ou ESR 91.13, dependendo de qual série de lançamento você está.
No seu celular, verifique com Google Play ou de Apple App Store para garantir que você tenha a versão mais recente.
No Linux e nos BSDs, se você estiver confiando na versão do Firefox empacotada por sua distribuição, verifique com seu fabricante de distribuição a versão mais recente que eles publicaram.
Feliz remendo!
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- Firefox
- firewall
- Kaspersky
- malwares
- Mcafee
- Mozilla
- Segurança nua
- NexBLOC
- Remendo
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- vulnerabilidade
- a segurança do website
- zefirnet
![S3 Ep125: Quando o hardware de segurança apresenta falhas de segurança [Áudio + Texto]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep125-when-security-hardware-has-security-holes-audio-text-300x156.png "S3 Ep125: Quando o hardware de segurança apresenta falhas de segurança [Áudio + Texto]")
