Atualização de segurança mensal leve do Firefox - mas atualize de qualquer maneira

É hora da atualização agendada do Firefox para este mês (tecnicamente, com 28 dias entre as atualizações, às vezes você recebe duas atualizações em um mês, mas julho de 2022 não é um desses meses)…

…e a boa notícia é que o piores bugs listados, que recebem uma categoria de risco de Alta, são aqueles encontrados pela própria Mozilla usando ferramentas automatizadas de busca de bugs e agrupados em dois números CVE genéricos:

• CVE-2022-36320: Segurança de memória defeitos consertados no Firefox 103.
• CVE-2022-2505: Segurança de memória defeitos consertados no Firefox 103 e 102.1.

A razão pela qual esses bugs são divididos em dois grupos é que a Mozilla oferece suporte oficial a duas versões de seu navegador.

Existe a versão mais recente e melhor, atualmente 103, que possui todos os recursos mais recentes e correções de segurança relevantes.

E há o tipo Extended Support Release (ESR), que sincroniza com os recursos da versão mais recente a cada poucos meses, mas recebe apenas atualizações de segurança, trazendo novos recursos somente depois de estarem disponíveis para teste no versão mainstream por algum tempo.

Como você pode imaginar, administradores de sistemas e equipes de TI que oferecem suporte ao Firefox no trabalho geralmente gostam de ESRs porque isso significa que eles não precisam impor novos recursos a seus próprios usuários (ou atender às inevitáveis ​​chamadas de suporte sobre novas opções de menu, ícones diferentes e comportamento modificado). ) sem um bom aviso.

Quase sempre há pelo menos alguns bugs corrigidos na versão principal do Firefox que não aparecem no ESR e, portanto, não podem ser corrigidos lá, porque os bugs são novos, introduzidos no novo código adicionado para suportar os novos recursos .

Esta é outra razão pela qual alguns administradores de sistemas gostam de software estilo ESR, visto que o código nessas versões foi generosamente exposto ao escrutínio da vida real por mais tempo, sem ficar para trás nos patches de segurança.

Na verdade, a Mozilla mantém duas versões do ESR, para que você possa experimentar as versões anterior e atual do ESR ao mesmo tempo antes de fazer a troca, sem precisar usar a versão de última geração em sua rede de produção. (Veja abaixo os números de versão mais recentes de todas as versões atualmente suportadas.)

Enganando seus cliques

Dos outros seis bugs na lista de patches, achamos que dois são intrigantes e importantes, porque ambos dão aos invasores a chance de induzi-lo a clicar em algo que não é o que parece:

• CVE-2022-36319: Falsificação de posição do mouse com transformações CSS. Simplificando, esse bug significa que um site com armadilha pode deixar o ponteiro do mouse posicionado no lugar errado na janela do navegador, para que o clique do mouse não seja registrado onde você espera. Este truque é geralmente conhecido como clickjacking, onde um golpista faz você pensar que está clicando em algum lugar seguro, quando na verdade você está clicando em um link ou botão que teria evitado deliberadamente se soubesse. Em sua forma mais simples, o clickjacking pode criar curtidas falsas nas redes sociais ou impressões de anúncios indesejados. Na pior das hipóteses, isso pode causar danos diretos a ataques de phishing ou downloads falsos que não são óbvios, mesmo que você esteja atento a eles.
• CVE-2022-36314: Abertura local .lnk arquivos podem causar cargas de rede inesperadas. LNK arquivos são Atalhos do Windows, que são um todo lata de worms de segurança por direito próprio. (A .LNK arquivo pode redirecioná-lo sorrateiramente para um arquivo do tipo X, como .EXE, enquanto se apresenta com um ícone do tipo Y, como .PDF.) Neste caso, um link da web que especifica um arquivo .LNK arquivo, poderia, se clicado, redirecioná-lo para um arquivo armazenado em algum lugar da rede. Embora não haja nenhuma sugestão de que os dados obtidos desta forma possam ser usados ​​para execução remota de código (em outras palavras, para fazer alterações não autorizadas, incluindo a implantação de malware), você pode facilmente ser levado a confiar em conteúdo remoto sob a impressão equivocada de que se trata de dados locais. . Qualquer vazamento de solicitação de rede alguns informações para a pessoa que executa o servidor na outra extremidade, por isso é importante que seu navegador lhe dê uma ideia precisa de para onde cada link em que você clica o levará.

SAIBA MAIS SOBRE ATALHOS E MALWARE

O que fazer?

Como de costume, vá para Ajuda > Sobre o Firefox e veja se a caixa pop-up informa Firefox is up to date ou oferece um botão clicável chamado [Update to X].

Desta vez, a versão que você procura é 103.0 (se você estiver usando o versão principal), ESR 102.1 (se você estiver no versão mais recente do ESR), ou ESR 91.12 (se você estiver no sabor ESR mais antigo).

Como explicamos antes, mas vale a pena mencionar novamente, os dois números nos identificadores de versão ESR se somam para denotar a versão principal com a qual eles correspondem em termos de atualizações de segurança.

Então, dado que a versão mainstream atual é 103, você pode dizer rapidamente do que 102.1 ESRs (102+1 = 103) e 91.12 ESRs (91+12 = 103) são os lançamentos mais recentes em suas respectivas linhagens.