Последние обновления для Apple Safari и Google Chrome попали в заголовки, потому что они исправили загадочные эксплойты нулевого дня, которые уже использовались в дикой природе.
Но на этой неделе также появилось последнее четырехнедельное обновление Firefox, которое упал как обычно во вторник, через четыре недели после последнего запланированного выпуска полной версии с приращением.
Мы не писали об этом обновлении до сих пор, потому что хорошие новости…
…что хоть и было пару интригующих и важных исправлений с уровнем High, не было нулевых дней и даже критический ошибки в этом месяце.
Ошибки безопасности памяти
Как обычно, команда Mozilla назначила два всеобъемлющие номера CVE к ошибкам, которые они нашли и исправили с помощью упреждающих методов, таких как фаззинг, когда код с ошибками автоматически проверяется на наличие недостатков, документируется и исправляется, не дожидаясь, пока кто-то выяснит, насколько эти ошибки могут быть использованы:
- CVE-2022-38477 покрывает ошибки, которые затрагивают только сборки Firefox, основанные на коде версии 102 и выше, которая является кодовой базой, используемой основной версией, теперь обновленной до 104.0, и основная версия с расширенной поддержкой, которая сейчас СОЭ 102.2.
- CVE-2022-38478 покрывает дополнительные ошибки, которые существуют в коде Firefox, начиная с версии 91, потому что это основа вторичного выпуска с расширенной поддержкой, который теперь стоит на СОЭ 91.13.
Как обычно, Mozilla достаточно прямолинейна, чтобы сделать простое заявление:
Некоторые из этих ошибок свидетельствовали о повреждении памяти, и мы предполагаем, что при достаточном усилии некоторые из них могли быть использованы для запуска произвольного кода.
СОЭ демистифицировано
Как мы объясняли ранее, Расширенная версия поддержки Firefox предназначен для консервативных домашних пользователей и для корпоративных системных администраторов, которые предпочитают откладывать обновления функций и изменения функциональности, пока они не пропустят обновления безопасности.
Номера версий ESR объединяются, чтобы сообщить вам, какой у вас набор функций, а также сколько обновлений безопасности было выпущено с момента выхода этой версии.
Таким образом, для СОЭ 102.2, у нас есть 102 + 2 = 104 (текущая передовая версия).
Аналогично, для СОЭ 91.13, у нас есть 91 + 13 = 104, чтобы было ясно, что, хотя версия 91 все еще возвращается к набору функций примерно годичной давности, она актуальна с точки зрения исправлений безопасности.
Причина, по которой в любое время существует два ESR, заключается в том, чтобы обеспечить существенный период удвоения между версиями, поэтому вы никогда не застрянете с использованием новых функций только для того, чтобы получить исправления безопасности — всегда есть наложение, в течение которого вы можете продолжать использовать старый ESR. при опробовании нового ESR, чтобы подготовиться к необходимому переключению в будущем.
Ошибки спуфинга доверия
Две специфические и явно связанные уязвимости, которые сделано High Каталог в этом месяце были:
- CVE-2022-38472: Подмена адресной строки с помощью обработки ошибок XSLT.
- CVE-2022-38473: XSLT-документы из разных источников унаследовали бы родительские разрешения.
Как вы понимаете, эти ошибки означают, что мошеннический контент, загруженный с невинно выглядящего сайта, может привести к тому, что Firefox обманом заставит вас доверять веб-страницам, которым вы не должны доверять.
В первой ошибке Firefox можно было заманить представлением контента с неизвестного и ненадежного сайта, как если бы он пришел с URL-адреса, размещенного на сервере, который вы уже знали и которому доверяли.
Во второй ошибке веб-контент с ненадежного сайта X отображался в подокне (значок IFRAME, Короче для встроенный фрейм) на доверенном сайте Y…
…может закончиться тем, что разрешения безопасности будут «заимствованы» из родительского окна Y, которые вы не ожидаете передать (и которые вы не предоставите сознательно) в X, включая доступ к вашей веб-камере и микрофону.
Что делать?
На настольных компьютерах или ноутбуках перейдите к Документи > О Firefox чтобы проверить, в курсе ли вы.
Если нет, то О нас окно предложит вам загрузить и активировать необходимое обновление — вы ищете 104.0или СОЭ 102.2или СОЭ 91.13, в зависимости от того, какую серию выпусков вы используете.
На своем мобильном телефоне проверьте с помощью Гугл игры или Apple App Store чтобы убедиться, что у вас установлена последняя версия.
В Linux и BSD, если вы полагаетесь на версию Firefox, упакованную вашим дистрибутивом, уточните у производителя вашего дистрибутива последнюю опубликованную версию.
Удачного исправления!
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- Firefox
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- Mozilla
- Голая Безопасность
- НексБЛОК
- Патчи
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- уязвимость
- безопасности веб-сайтов
- зефирнет
![S3, эпизод 125: Когда в оборудовании безопасности есть дыры в безопасности [аудио + текст]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep125-when-security-hardware-has-security-holes-audio-text-300x156.png "S3, эпизод 125: Когда в оборудовании безопасности есть дыры в безопасности [аудио + текст]")
