Blaga mesečna varnostna posodobitev iz Firefoxa – vendar vseeno posodobite

Čas je za načrtovano posodobitev Firefoxa za ta mesec (tehnično gledano z 28 dnevi med posodobitvami včasih dobite dve posodobitvi v enem koledarskem mesecu, vendar julij 2022 ni eden od teh mesecev)…

… in dobra novica je, da najhujši hrošči na seznamu, ki dobijo kategorijo tveganja visoka, so tisti, ki jih je Mozilla sama odkrila z avtomatiziranimi orodji za iskanje hroščev in združeni pod dvema značilnima številkama CVE:

• CVE-2022-36320: Varnost spomina napake odpravljene v Firefoxu 103.
• CVE-2022-2505: Varnost spomina napake odpravljene v Firefoxu 103 in 102.1.

Razlog, da so te napake razdeljene v dve skupini, je, da Mozilla uradno podpira dve različici svojega brskalnika.

Obstaja najnovejša in najboljša različica, trenutno 103, ki ima vse najnovejše funkcije in ustrezne varnostne popravke.

In tu je različica Extended Support Release (ESR), ki se vsakih nekaj mesecev sinhronizira s funkcijami v najnovejši različici, vendar vmes prejme samo varnostne posodobitve, s čimer prinaša nove funkcije šele, ko so na voljo za preizkušanje v mainstream različica že nekaj časa.

Kot si lahko predstavljate, imajo sistemski skrbniki in ekipe IT, ki podpirajo Firefox pri delu, pogosto všeč ESR, ker to pomeni, da jim ni treba vsiljevati novih funkcij lastnim uporabnikom (ali sprejemati neizogibnih klicev podpore glede novih možnosti menija, različnih ikon in spremenjenega vedenja). ) brez dobrega opozorila.

Skoraj vedno je v običajni različici Firefoxa odpravljenih vsaj nekaj napak, ki se ne pojavijo v ESR in jih zato tam ni mogoče popraviti, ker so napake nove, predstavljene v novi kodi, dodani za podporo novim funkcijam .

To je še en razlog, zakaj je nekaterim sistemskim skrbnikom všeč programska oprema v slogu ESR, glede na to, da je bila koda v teh različicah na splošno dlje časa izpostavljena pregledu v resničnem življenju, ne da bi zaostajala pri varnostnih popravkih.

Pravzaprav Mozilla ohranja dve različici ESR, tako da lahko pred preklopom hkrati preizkusite prejšnjo in trenutno različico ESR, tako da vam sploh nikoli ni treba uporabljati vrhunske različice v vašem produkcijskem omrežju. (Glejte spodaj za najnovejše številke različic vseh trenutno podprtih različic.)

Zavajanje vaših klikov

Od ostalih šestih hroščev na seznamu popravkov menimo, da sta dve zanimivi in ​​pomembni, saj obe dajeta napadalcem možnost, da vas zavedejo, da kliknete nekaj, kar ni tisto, kar se zdi:

• CVE-2022-36319: Prevara položaja miške s transformacijami CSS. Preprosto povedano, ta hrošč pomeni, da bi lahko spletno mesto, ujet v minah, pustilo kazalec miške na mestu na napačnem mestu v oknu brskalnika, tako da se klik z miško ne bo zabeležil tam, kjer pričakujete. Ta trik je splošno znan kot klikanje, kjer vas prevarant prepriča, da klikate nekje na varnem, medtem ko v resnici kliknete povezavo ali gumb, ki bi se mu namerno izognili, če bi le vedeli. V svoji najpreprostejši obliki lahko klikanje ustvari lažne všečke na družbenih medijih ali neželene prikaze oglasov. V najslabšem primeru vas lahko neposredno poškoduje zaradi napadov lažnega predstavljanja ali lažnih prenosov, ki niso očitni, tudi če ste pozorni nanje.
• CVE-2022-36314: Lokalna otvoritev .lnk datoteke lahko povzročijo nepričakovane obremenitve omrežja. LNK datoteke so Windows bližnjice, ki sta celota pločevinka varnostnih črvov po svoje. (A .LNK datoteka vas lahko prikrito preusmeri na datoteko tipa X, kot je npr .EXE, pri čemer se predstavlja z ikono tipa Y, kot npr .PDF.) V tem primeru spletna povezava, ki določa lokalno .LNK datoteko, bi vas lahko, če kliknete, namesto tega preusmeril na datoteko, shranjeno nekje v omrežju. Čeprav ni nobenih namigov, da bi tako pridobljene podatke lahko uporabili za oddaljeno izvajanje kode (z drugimi besedami, za nepooblaščene spremembe, vključno z vsaditvijo zlonamerne programske opreme), bi vas lahko preprosto prevarali, da bi zaupali oddaljeni vsebini pod napačnim vtisom, da gre za lokalne podatke . Vsaka omrežna zahteva pušča nekaj informacije osebi, ki upravlja strežnik na drugi strani, zato je pomembno, da vam brskalnik da natančno predstavo o tem, kam vas bo pripeljala vsaka povezava, ki jo kliknete.

VEČ O BLIŽNJICAH IN ZLONAMERNI PROGRAMI

Kaj storiti?

Kot običajno pojdite na pomaga > O Firefox in preverite, ali vam pojavno okno pove Firefox is up to date ali vam ponuja gumb, ki ga je mogoče klikniti z oznako [Update to X].

Tokrat je različica, ki jo iščete 103.0 (če uporabljate mainstream različica), ESR 102.1 (če ste na najnovejša različica ESR), ali ESR 91.12 (če ste na najstarejši okus ESR).

Kot smo že pojasnili, vendar mislim, da je vredno znova omeniti, se dve številki v identifikatorjih izdaje ESR seštejeta in označujeta glavno izdajo, s katero se ujemata v smislu varnostnih posodobitev.

Torej, glede na to, da je trenutna mainstream različica 103, lahko hitro ugotovite, kot 102.1 ESR (102+1 = 103) in 91.12 ESR (91+12 = 103) so najnovejše izdaje v svojih linijah.