Firefox 104 ออกแล้ว – ไม่มีข้อบกพร่องที่สำคัญ แต่ให้อัปเดตต่อไป

อัพเดทล่าสุด Apple Safari และ Google Chrome สร้างหัวข้อข่าวใหญ่เพราะพวกเขาแก้ไขการหาประโยชน์ซีโร่เดย์ที่ลึกลับซึ่งถูกใช้ไปแล้วในป่า

แต่ในสัปดาห์นี้ก็มีการอัปเดต Firefox ประจำสัปดาห์ล่าสุดสี่สัปดาห์ซึ่ง ลดลงเหมือนเดิม ในวันอังคาร สี่สัปดาห์หลังจากการเปิดตัวเวอร์ชันเต็ม-หมายเลข-การเพิ่มตามกำหนดการล่าสุด

เรายังไม่ได้เขียนเกี่ยวกับการอัปเดตนี้จนถึงตอนนี้ เพราะก็เพราะข่าวดีก็คือ...

...ที่แม้ว่าจะมีการแก้ไขที่น่าสนใจและสำคัญสองสามระดับด้วยระดับของ จุดสูง, ไม่มีซีโร่เดย์ หรือแม้แต่ใดๆ วิกฤต ข้อบกพร่องในเดือนนี้

ข้อบกพร่องด้านความปลอดภัยของหน่วยความจำ

ตามปกติ ทีม Mozilla มอบหมายให้สอง ครอบคลุมตัวเลข CVE ไปจนถึงจุดบกพร่องที่พวกเขาพบและแก้ไขโดยใช้เทคนิคเชิงรุก เช่น การทำให้ฟัซซิ่ง โดยที่โค้ดของบั๊กกี้จะถูกตรวจสอบหาจุดบกพร่อง จัดทำเอกสาร และแก้ไขโดยอัตโนมัติโดยไม่ต้องรอให้ใครมาพิจารณาว่าบั๊กเหล่านั้นสามารถใช้ประโยชน์ได้อย่างไร:

• CVE-2022-38477 ครอบคลุมบั๊กที่ส่งผลกระทบเฉพาะบิลด์ของ Firefox ตามโค้ดของเวอร์ชัน 102 และใหม่กว่า ซึ่งเป็นโค้ดเบสที่ใช้โดยเวอร์ชันหลัก ตอนนี้อัปเดตเป็น 104.0และรุ่นหลักที่วางจำหน่ายการสนับสนุนเสริมหลัก ซึ่งตอนนี้คือ อีเอสอาร์ 102.2.
• CVE-2022-38478 ครอบคลุมข้อบกพร่องเพิ่มเติมที่มีอยู่ในโค้ด Firefox ที่จะย้อนกลับไปเป็นเวอร์ชัน 91 เพราะนั่นเป็นพื้นฐานของ Extended Support Release รอง ซึ่งตอนนี้อยู่ที่ อีเอสอาร์ 91.13.

ตามปกติ Mozilla พูดธรรมดามากพอที่จะออกเสียงง่ายๆ ว่า:

บั๊กเหล่านี้บางตัวแสดงให้เห็นหลักฐานของหน่วยความจำเสียหาย และเราสันนิษฐานว่าด้วยความพยายามที่เพียงพอ ข้อบกพร่องเหล่านี้บางส่วนอาจถูกนำไปใช้เพื่อรันโค้ดโดยอำเภอใจ

ESR กระจ่างขึ้น

ตามที่เราได้อธิบายไว้ก่อนหน้านี้ การสนับสนุน Firefox Extended Release มุ่งเป้าไปที่ผู้ใช้ตามบ้านที่อนุรักษ์นิยมและสำหรับผู้ดูแลระบบขององค์กรที่ต้องการชะลอการอัปเดตฟีเจอร์และการเปลี่ยนแปลงฟังก์ชันการทำงาน ตราบใดที่พวกเขาไม่พลาดการอัปเดตความปลอดภัยด้วยการดำเนินการดังกล่าว

หมายเลขเวอร์ชัน ESR รวมกันเพื่อบอกคุณว่าคุณมีชุดคุณลักษณะใดบ้าง รวมทั้งมีการอัปเดตความปลอดภัยจำนวนเท่าใดตั้งแต่เวอร์ชันดังกล่าวออกมา

ดังนั้นสำหรับ อีเอสอาร์ 102.2เรามี 102+2 = 104 (เวอร์ชันชั้นนำในปัจจุบัน)

ในทำนองเดียวกัน สำหรับ อีเอสอาร์ 91.13เรามี 91+13 = 104 เพื่อให้ชัดเจนว่าแม้ว่าเวอร์ชัน 91 จะยังคงกลับมาอยู่ในชุดคุณลักษณะเมื่อประมาณหนึ่งปีที่แล้ว แต่ก็เป็นปัจจุบันเท่าที่มีความกังวลเกี่ยวกับแพตช์ความปลอดภัย

เหตุผลที่มี ESR สองรายการในเวลาใดๆ ก็คือการให้ช่วงเวลาที่เพิ่มขึ้นเป็นสองเท่าอย่างมากระหว่างเวอร์ชันต่างๆ ดังนั้นคุณจึงไม่ต้องติดอยู่กับการใช้คุณลักษณะใหม่เพียงเพื่อแก้ไขปัญหาด้านความปลอดภัย – มีเสมอซ้อนทับกันอยู่เสมอซึ่งคุณสามารถใช้ ESR แบบเก่าต่อไปได้ ขณะลองใช้ ESR ใหม่เพื่อเตรียมพร้อมสำหรับการเปลี่ยนผ่านที่จำเป็นในอนาคต

บั๊กการปลอมแปลงความน่าเชื่อถือ

ช่องโหว่เฉพาะเจาะจงและเกี่ยวข้องที่เห็นได้ชัดทั้งสองที่ ทำ จุดสูง หมวดหมู่ เดือนนี้คือ:

• CVE-2022-38472: การปลอมแปลงแถบที่อยู่โดยใช้การจัดการข้อผิดพลาด XSLT
• CVE-2022-38473: เอกสาร XSLT แบบข้ามต้นทางจะสืบทอดสิทธิ์ของพาเรนต์

อย่างที่คุณสามารถจินตนาการได้ ข้อบกพร่องเหล่านี้หมายความว่าเนื้อหาหลอกลวงที่ดึงมาจากไซต์ที่ดูไร้เดียงสาอาจจบลงด้วยการที่ Firefox หลอกให้คุณเชื่อถือหน้าเว็บที่คุณไม่ควรทำ

ในจุดบกพร่องแรก Firefox อาจถูกล่อให้นำเสนอเนื้อหาที่ให้บริการจากไซต์ที่ไม่รู้จักและไม่น่าเชื่อถือ ราวกับว่ามาจาก URL ที่โฮสต์บนเซิร์ฟเวอร์ที่คุณรู้จักและเชื่อถืออยู่แล้ว

ในจุดบกพร่องที่สอง เนื้อหาเว็บจากไซต์ที่ไม่น่าเชื่อถือ X แสดงในหน้าต่างย่อย (an IFRAME, ย่อจาก เฟรมอินไลน์) ภายในไซต์ที่เชื่อถือได้ Y…

... อาจจบลงด้วยการอนุญาตความปลอดภัย "ยืม" จากหน้าต่างหลัก Y ที่คุณไม่ได้คาดหวังว่าจะถูกส่งต่อ (และที่คุณไม่ได้ตั้งใจอนุญาต) ให้กับ X รวมถึงการเข้าถึงเว็บแคมและไมโครโฟนของคุณ

จะทำอย่างไร?

บนเดสก์ท็อปหรือแล็ปท็อป ไปที่ การช่วยเหลือ > เกี่ยวกับ Firefox เพื่อตรวจสอบว่าคุณทันสมัยหรือไม่

ถ้าไม่ เกี่ยวกับเรา หน้าต่างจะแจ้งให้คุณดาวน์โหลดและเปิดใช้งานการอัปเดตที่จำเป็น – คุณกำลังมองหา 104.0,หรือ อีเอสอาร์ 102.2,หรือ อีเอสอาร์ 91.13ขึ้นอยู่กับซีรีย์ที่คุณเผยแพร่

บนโทรศัพท์มือถือของคุณ ตรวจสอบกับ Google Play หรือ Apple App Store เพื่อให้แน่ใจว่าคุณมีเวอร์ชันล่าสุด

บน Linux และ BSD หากคุณใช้ Firefox เวอร์ชันที่จัดแพ็คเกจโดยการกระจายของคุณ ให้ตรวจสอบกับ distro maker ของคุณสำหรับเวอร์ชันล่าสุดที่พวกเขาเผยแพร่

มีความสุขในการปะ!

---