อัพเดทล่าสุด Apple Safari และ Google Chrome สร้างหัวข้อข่าวใหญ่เพราะพวกเขาแก้ไขการหาประโยชน์ซีโร่เดย์ที่ลึกลับซึ่งถูกใช้ไปแล้วในป่า
แต่ในสัปดาห์นี้ก็มีการอัปเดต Firefox ประจำสัปดาห์ล่าสุดสี่สัปดาห์ซึ่ง ลดลงเหมือนเดิม ในวันอังคาร สี่สัปดาห์หลังจากการเปิดตัวเวอร์ชันเต็ม-หมายเลข-การเพิ่มตามกำหนดการล่าสุด
เรายังไม่ได้เขียนเกี่ยวกับการอัปเดตนี้จนถึงตอนนี้ เพราะก็เพราะข่าวดีก็คือ...
...ที่แม้ว่าจะมีการแก้ไขที่น่าสนใจและสำคัญสองสามระดับด้วยระดับของ จุดสูง, ไม่มีซีโร่เดย์ หรือแม้แต่ใดๆ วิกฤต ข้อบกพร่องในเดือนนี้
ข้อบกพร่องด้านความปลอดภัยของหน่วยความจำ
ตามปกติ ทีม Mozilla มอบหมายให้สอง ครอบคลุมตัวเลข CVE ไปจนถึงจุดบกพร่องที่พวกเขาพบและแก้ไขโดยใช้เทคนิคเชิงรุก เช่น การทำให้ฟัซซิ่ง โดยที่โค้ดของบั๊กกี้จะถูกตรวจสอบหาจุดบกพร่อง จัดทำเอกสาร และแก้ไขโดยอัตโนมัติโดยไม่ต้องรอให้ใครมาพิจารณาว่าบั๊กเหล่านั้นสามารถใช้ประโยชน์ได้อย่างไร:
- CVE-2022-38477 ครอบคลุมบั๊กที่ส่งผลกระทบเฉพาะบิลด์ของ Firefox ตามโค้ดของเวอร์ชัน 102 และใหม่กว่า ซึ่งเป็นโค้ดเบสที่ใช้โดยเวอร์ชันหลัก ตอนนี้อัปเดตเป็น 104.0และรุ่นหลักที่วางจำหน่ายการสนับสนุนเสริมหลัก ซึ่งตอนนี้คือ อีเอสอาร์ 102.2.
- CVE-2022-38478 ครอบคลุมข้อบกพร่องเพิ่มเติมที่มีอยู่ในโค้ด Firefox ที่จะย้อนกลับไปเป็นเวอร์ชัน 91 เพราะนั่นเป็นพื้นฐานของ Extended Support Release รอง ซึ่งตอนนี้อยู่ที่ อีเอสอาร์ 91.13.
ตามปกติ Mozilla พูดธรรมดามากพอที่จะออกเสียงง่ายๆ ว่า:
บั๊กเหล่านี้บางตัวแสดงให้เห็นหลักฐานของหน่วยความจำเสียหาย และเราสันนิษฐานว่าด้วยความพยายามที่เพียงพอ ข้อบกพร่องเหล่านี้บางส่วนอาจถูกนำไปใช้เพื่อรันโค้ดโดยอำเภอใจ
ESR กระจ่างขึ้น
ตามที่เราได้อธิบายไว้ก่อนหน้านี้ การสนับสนุน Firefox Extended Release มุ่งเป้าไปที่ผู้ใช้ตามบ้านที่อนุรักษ์นิยมและสำหรับผู้ดูแลระบบขององค์กรที่ต้องการชะลอการอัปเดตฟีเจอร์และการเปลี่ยนแปลงฟังก์ชันการทำงาน ตราบใดที่พวกเขาไม่พลาดการอัปเดตความปลอดภัยด้วยการดำเนินการดังกล่าว
หมายเลขเวอร์ชัน ESR รวมกันเพื่อบอกคุณว่าคุณมีชุดคุณลักษณะใดบ้าง รวมทั้งมีการอัปเดตความปลอดภัยจำนวนเท่าใดตั้งแต่เวอร์ชันดังกล่าวออกมา
ดังนั้นสำหรับ อีเอสอาร์ 102.2เรามี 102+2 = 104 (เวอร์ชันชั้นนำในปัจจุบัน)
ในทำนองเดียวกัน สำหรับ อีเอสอาร์ 91.13เรามี 91+13 = 104 เพื่อให้ชัดเจนว่าแม้ว่าเวอร์ชัน 91 จะยังคงกลับมาอยู่ในชุดคุณลักษณะเมื่อประมาณหนึ่งปีที่แล้ว แต่ก็เป็นปัจจุบันเท่าที่มีความกังวลเกี่ยวกับแพตช์ความปลอดภัย
เหตุผลที่มี ESR สองรายการในเวลาใดๆ ก็คือการให้ช่วงเวลาที่เพิ่มขึ้นเป็นสองเท่าอย่างมากระหว่างเวอร์ชันต่างๆ ดังนั้นคุณจึงไม่ต้องติดอยู่กับการใช้คุณลักษณะใหม่เพียงเพื่อแก้ไขปัญหาด้านความปลอดภัย – มีเสมอซ้อนทับกันอยู่เสมอซึ่งคุณสามารถใช้ ESR แบบเก่าต่อไปได้ ขณะลองใช้ ESR ใหม่เพื่อเตรียมพร้อมสำหรับการเปลี่ยนผ่านที่จำเป็นในอนาคต
บั๊กการปลอมแปลงความน่าเชื่อถือ
ช่องโหว่เฉพาะเจาะจงและเกี่ยวข้องที่เห็นได้ชัดทั้งสองที่ ทำ จุดสูง หมวดหมู่ เดือนนี้คือ:
- CVE-2022-38472: การปลอมแปลงแถบที่อยู่โดยใช้การจัดการข้อผิดพลาด XSLT
- CVE-2022-38473: เอกสาร XSLT แบบข้ามต้นทางจะสืบทอดสิทธิ์ของพาเรนต์
อย่างที่คุณสามารถจินตนาการได้ ข้อบกพร่องเหล่านี้หมายความว่าเนื้อหาหลอกลวงที่ดึงมาจากไซต์ที่ดูไร้เดียงสาอาจจบลงด้วยการที่ Firefox หลอกให้คุณเชื่อถือหน้าเว็บที่คุณไม่ควรทำ
ในจุดบกพร่องแรก Firefox อาจถูกล่อให้นำเสนอเนื้อหาที่ให้บริการจากไซต์ที่ไม่รู้จักและไม่น่าเชื่อถือ ราวกับว่ามาจาก URL ที่โฮสต์บนเซิร์ฟเวอร์ที่คุณรู้จักและเชื่อถืออยู่แล้ว
ในจุดบกพร่องที่สอง เนื้อหาเว็บจากไซต์ที่ไม่น่าเชื่อถือ X แสดงในหน้าต่างย่อย (an IFRAME
, ย่อจาก เฟรมอินไลน์) ภายในไซต์ที่เชื่อถือได้ Y…
... อาจจบลงด้วยการอนุญาตความปลอดภัย "ยืม" จากหน้าต่างหลัก Y ที่คุณไม่ได้คาดหวังว่าจะถูกส่งต่อ (และที่คุณไม่ได้ตั้งใจอนุญาต) ให้กับ X รวมถึงการเข้าถึงเว็บแคมและไมโครโฟนของคุณ
จะทำอย่างไร?
บนเดสก์ท็อปหรือแล็ปท็อป ไปที่ การช่วยเหลือ > เกี่ยวกับ Firefox เพื่อตรวจสอบว่าคุณทันสมัยหรือไม่
ถ้าไม่ เกี่ยวกับเรา หน้าต่างจะแจ้งให้คุณดาวน์โหลดและเปิดใช้งานการอัปเดตที่จำเป็น – คุณกำลังมองหา 104.0,หรือ อีเอสอาร์ 102.2,หรือ อีเอสอาร์ 91.13ขึ้นอยู่กับซีรีย์ที่คุณเผยแพร่
บนโทรศัพท์มือถือของคุณ ตรวจสอบกับ Google Play หรือ Apple App Store เพื่อให้แน่ใจว่าคุณมีเวอร์ชันล่าสุด
บน Linux และ BSD หากคุณใช้ Firefox เวอร์ชันที่จัดแพ็คเกจโดยการกระจายของคุณ ให้ตรวจสอบกับ distro maker ของคุณสำหรับเวอร์ชันล่าสุดที่พวกเขาเผยแพร่
มีความสุขในการปะ!
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- Firefox
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- Mozilla
- ความปลอดภัยเปล่า
- เน็กซ์บล๊อก
- ปะ
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความอ่อนแอ
- ความปลอดภัยของเว็บไซต์
- ลมทะเล