Det är dags för denna månads schemalagda Firefox-uppdatering (tekniskt sett, med 28 dagar mellan uppdateringarna, får du ibland två uppdateringar under en kalendermånad, men juli 2022 är inte en av dessa månader)...
...och de goda nyheterna är att värsta buggar listade, som får en riskkategori av Hög, är de som hittats av Mozilla själv med hjälp av automatiserade bugg-jaktverktyg, och sammanfogade under två catchall CVE-nummer:
- CVE-2022-36320: Minnesäkerhet buggar fixade i Firefox 103.
- CVE-2022-2505: Minnesäkerhet buggar fixade i Firefox 103 och 102.1.
Anledningen till att dessa buggar är uppdelade i två grupper är att Mozilla officiellt stöder två varianter av sin webbläsare.
Det finns den senaste och bästa versionen, för närvarande 103, som har alla de senaste funktionerna och relevanta säkerhetskorrigeringar.
Och det finns Extended Support Release (ESR)-smaken, som synkroniseras med funktionerna i den senaste versionen med några månaders mellanrum, men däremellan endast får säkerhetsuppdateringar, vilket innebär att nya funktioner bara kommer in efter att de har varit tillgängliga att testa i mainstream-versionen under en tid.
Som du kan föreställa dig gillar systemadministratörer och IT-team som stöder Firefox på jobbet ofta ESR:er eftersom det betyder att de inte behöver lägga nya funktioner på sina egna användare (eller ta de oundvikliga supportsamtal om nya menyalternativ, olika ikoner och modifierat beteende ) utan god förvarning.
Det finns nästan alltid åtminstone några buggar fixade i den vanliga Firefox-versionen som inte visas i ESR, och som därför inte kan fixas där, eftersom buggarna är nya, introducerade i den nya koden som lagts till för att stödja de nya funktionerna .
Detta är ytterligare en anledning till att vissa systemadministratörer gillar mjukvara i ESR-stil, med tanke på att koden i dessa versioner har varit generiskt utsatt för granskning i verkligheten längre, utan att släpa efter med säkerhetskorrigeringar.
Faktum är att Mozilla behåller två ESR-versioner, så att du kan prova den tidigare och den nuvarande ESR-versionen samtidigt innan du gör bytet, så att du aldrig behöver använda den avancerade versionen i ditt produktionsnätverk alls. (Se nedan för de senaste versionsnumren för alla versioner som stöds för närvarande.)
Vilseledande dina klick
Av de andra sex buggarna på patchlistan tycker vi att två är spännande och viktiga, eftersom båda ger angripare en chans att lura dig att klicka på något som inte är vad det verkar:
- CVE-2022-36319: Muspositionsförfalskning med CSS-transformationer. Enkelt uttryckt betyder det här felet att en webbplats som är fångad i smuts kan lämna din muspekare placerad på fel plats i webbläsarfönstret, så att musklickning inte registreras där du förväntar dig. Detta trick är allmänt känt som clickjacking, där en bedragare får dig att tro att du klickar någonstans säkert, när du i själva verket klickar på en länk eller knapp som du medvetet skulle ha undvikit om du bara visste det. I sin enklaste form kan clickjacking skapa falska sociala medier som gillar eller oönskade annonsvisningar. I värsta fall kan det leda dig direkt till skada från nätfiskeattacker eller falska nedladdningar som inte är uppenbara, även om du är ute efter dem.
- CVE-2022-36314: Öppnar lokalt
.lnkfiler kan orsaka oväntade nätverksbelastningar.LNKfiler är Windows-genvägar, som är en helhet burk med säkerhetsmaskar i sin egen rätt. (A.LNKfil kan smygt omdirigera dig till en fil av typ X, som t.ex.EXE, samtidigt som den presenterar sig själv med en ikon av typ Y, som t.ex.PDF.) I det här fallet en webblänk som angav en lokal .LNKfil, kan, om du klickar på den, omdirigera dig till en fil som är lagrad någonstans i nätverket istället. Även om det inte finns något förslag på att data som hämtas på detta sätt skulle kunna användas för fjärrkörning av kod (med andra ord för att göra obehöriga ändringar, inklusive implantering av skadlig programvara), kan du lätt luras att lita på fjärrinnehåll under det felaktiga intrycket att det var lokal data . Alla nätverksbegäranden läcker några information till personen som kör servern i andra änden, så det är viktigt för din webbläsare att ge dig en korrekt uppfattning om var varje länk du klickar på tar dig.
LÄS MER OM GENVÄGAR OCH MALWARE
Vad göra?
Som vanligt, gå till Hjälp > Om Firefox och se om popup-rutan berättar Firefox is up to date eller erbjuder dig en klickbar knapp märkt [Update to X].
Den här gången är versionen du är ute efter 103.0 (om du använder mainstream version), ESR 102.1 (om du är på senaste ESR-versionen), eller ESR 91.12 (om du är på äldsta ESR-smak).
Som vi har förklarat tidigare, men tycker att det är värt att nämna igen, adderas de två siffrorna i ESR-utgåvans identifierare för att beteckna den vanliga utgåvan som de matchar när det gäller säkerhetsuppdateringar.
Så, med tanke på att den nuvarande vanliga versionen är 103, kan du snabbt säga än 102.1 ESR (102+1 = 103) och 91.12 ESR (91+12 = 103) är de senaste utgåvorna i sina respektive linjer.
- blockchain
- clickjacking
- coingenius
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- säkerhetstjänsten
- digitala plånböcker
- firefox
- brandvägg
- kaspersky
- malware
- Mcafee
- Mozilla
- Naken säkerhet
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- VPN
- sårbarhet
- webbplats säkerhet
- zephyrnet
![S3 Ep111: Affärsrisken med ett slarvigt "nakenhetsfilter" [Audio + Text] PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111: Affärsrisken med ett slarvigt \"nakenhetsfilter\" [Ljud + text]")
![S3 Ep93: Kontorssäkerhet, intrångskostnader och lugna patchar [Ljud + text] PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/s3-ep93-1200-300x157.png "S3 Ep93: Kontorssäkerhet, intrångskostnader och lugna korrigeringar [Ljud + text]")
