Небольшое ежемесячное обновление безопасности от Firefox, но все равно обновляйте

Пришло время запланированного на этот месяц обновления Firefox (технически, с 28-дневным интервалом между обновлениями вы иногда получаете два обновления за один календарный месяц, но июль 2022 года не является одним из таких месяцев)…

…и хорошая новость в том, что перечислены худшие ошибки, которые получают категорию риска High, найдены самой Mozilla с помощью автоматизированных инструментов поиска ошибок и объединены под двумя универсальными номерами CVE:

• CVE-2022-36320: Безопасность памяти исправлены ошибки в Firefox 103.
• CVE-2022-2505: Безопасность памяти исправлены ошибки в Firefox 103 и 102.1.

Причина, по которой эти ошибки разделены на две группы, заключается в том, что Mozilla официально поддерживает две разновидности своего браузера.

Есть самая последняя и самая лучшая версия, в настоящее время 103, в которой есть все последние функции и соответствующие исправления безопасности.

И есть версия с расширенной поддержкой (ESR), которая синхронизируется с функциями последней версии каждые несколько месяцев, но в промежутках получает только обновления безопасности, таким образом добавляя новые функции только после того, как они были доступны для опробования в основная версия в течение некоторого времени.

Как вы можете себе представить, системные администраторы и ИТ-команды, которые поддерживают Firefox на работе, часто любят ESR, потому что это означает, что им не нужно навязывать новые функции своим пользователям (или принимать неизбежные звонки в службу поддержки о новых параметрах меню, других значках и измененном поведении). ) без хорошего предупреждения.

Почти всегда в основной версии Firefox исправлено как минимум несколько ошибок, которые не отображаются в ESR и, следовательно, не могут быть исправлены там, потому что ошибки новые, введенные в новый код, добавленный для поддержки новых функций. .

Это еще одна причина, по которой некоторым системным администраторам нравится программное обеспечение в стиле ESR, учитывая, что код в этих версиях, как правило, дольше подвергался реальной проверке, не отставая от исправлений безопасности.

Фактически, Mozilla сохраняет две версии ESR, так что вы можете попробовать предыдущую и текущую версии ESR одновременно, прежде чем переключаться, таким образом, вообще никогда не нужно использовать передовую версию в вашей производственной сети. (См. ниже последние номера версий всех поддерживаемых в настоящее время версий.)

Ввод ваших кликов в заблуждение

Из шести других ошибок в списке исправлений мы считаем две интригующими и важными, потому что обе они дают злоумышленникам шанс заставить вас щелкнуть что-то не то, чем кажется:

• CVE-2022-36319: Подмена положения мыши с помощью CSS-преобразований. Проще говоря, эта ошибка означает, что заминированный веб-сайт может оставить указатель мыши в нужном положении. не в том месте в окне браузера, чтобы щелчок мышью не регистрировался там, где вы ожидаете. Этот трюк широко известен как ClickJacking, когда мошенник заставляет вас думать, что вы щелкаете в безопасном месте, когда на самом деле вы нажимаете на ссылку или кнопку, которую вы бы намеренно избегали, если бы только знали. В своей простейшей форме кликджекинг может создавать поддельные лайки в социальных сетях или нежелательные показы рекламы. В худшем случае это может навредить вам от фишинговых атак или поддельных загрузок, которые не очевидны, даже если вы их ищете.
• CVE-2022-36314: Открытие местного .lnk файлы могут вызвать неожиданная загрузка сети. LNK файлы Горячие клавиши Windows, которые представляют собой единое целое банка червей безопасности В их собственных правах. (А .LNK может незаметно перенаправить вас к файлу типа X, например .EXE, представляя себя значком типа Y, например .PDF.) В этом случае веб-ссылка, указывающая локальный файл .LNK файл, может, если щелкнуть, перенаправить вас к файлу, хранящемуся где-то в сети. Хотя нет никаких предположений, что данные, полученные таким образом, могут быть использованы для удаленного выполнения кода (другими словами, для внесения несанкционированных изменений, включая внедрение вредоносных программ), вы можете легко обмануться, заставив доверять удаленному контенту, ошибочно предполагая, что это локальные данные. . Утечка любого сетевого запроса некоторые информацию человеку, управляющему сервером на другом конце, поэтому важно, чтобы ваш браузер давал вам точное представление о том, куда приведет вас каждая ссылка, которую вы нажимаете.

УЗНАЙТЕ БОЛЬШЕ О ЯРЛЫКАХ И ВРЕДОНОСНЫХ ПРОГРАММАХ

Что делать?

Как обычно, заходим в Документи > О Firefox и посмотрите, говорит ли вам всплывающее окно Firefox is up to date или предлагает вам активную кнопку с надписью [Update to X].

На этот раз нужная вам версия 103.0 (если вы используете основная версия), СОЭ 102.1 (если вы находитесь на последняя версия ESR), или СОЭ 91.12 (если вы находитесь на самый старый вкус ESR).

Как мы объясняли ранее, но думаю, что стоит упомянуть еще раз, два числа в идентификаторах выпусков ESR складываются вместе, чтобы обозначить основной выпуск, которому они соответствуют с точки зрения обновлений безопасности.

Итак, учитывая, что текущая основная версия 103, вы можете быстро сказать, чем 102.1 СОЭ (102+1=103) и 91.12 СОЭ (91+12 = 103) являются самыми последними выпусками в соответствующих родословных.