ถึงเวลาสำหรับการอัปเดต Firefox ตามกำหนดเวลาของเดือนนี้ (ในทางเทคนิคแล้ว ด้วยการอัปเดตระหว่าง 28 วัน บางครั้งคุณจะได้รับการอัปเดตสองครั้งในหนึ่งเดือนตามปฏิทิน แต่กรกฎาคม 2022 ไม่ใช่หนึ่งในเดือนเหล่านั้น)...
…และข่าวดีก็คือว่า ข้อบกพร่องที่เลวร้ายที่สุดที่ระบุไว้ซึ่งได้รับหมวดความเสี่ยงของ จุดสูงเป็นสิ่งที่ Mozilla ค้นพบเองโดยใช้เครื่องมือค้นหาจุดบกพร่องอัตโนมัติ และรวมเข้าด้วยกันภายใต้หมายเลข CVE ที่จับได้สองหมายเลข:
- CVE-2022-36320: ความปลอดภัยของหน่วยความจำ แก้ไขบั๊กแล้ว ใน Firefox 103
- CVE-2022-2505: ความปลอดภัยของหน่วยความจำ แก้ไขบั๊กแล้ว ใน Firefox 103 และ 102.1
สาเหตุที่บั๊กเหล่านี้แบ่งออกเป็นสองกลุ่มคือ Mozilla สนับสนุนเบราว์เซอร์สองรสชาติอย่างเป็นทางการ
มีเวอร์ชันล่าสุดและดีที่สุดในปัจจุบันคือ 103 ซึ่งมีคุณลักษณะล่าสุดทั้งหมดและการแก้ไขด้านความปลอดภัยที่เกี่ยวข้อง
และยังมีฟีเจอร์ Extended Support Release (ESR) ที่ซิงก์กับฟีเจอร์ในเวอร์ชันล่าสุดทุกสองสามเดือน แต่ในระหว่างนั้นจะได้รับการอัปเดตความปลอดภัยเท่านั้น จึงนำฟีเจอร์ใหม่เข้ามาหลังจากที่พร้อมให้ทดลองใช้แล้วเท่านั้น รุ่นหลักในบางครั้ง
อย่างที่คุณจินตนาการได้ ผู้ดูแลระบบและทีมไอทีที่สนับสนุน Firefox ในที่ทำงานมักจะชอบ ESR เพราะมันหมายความว่าพวกเขาไม่ต้องละทิ้งคุณลักษณะใหม่ๆ ให้กับผู้ใช้ของตนเอง (หรือรับสายสนับสนุนที่หลีกเลี่ยงไม่ได้เกี่ยวกับตัวเลือกเมนูใหม่ ไอคอนต่างๆ และพฤติกรรมที่แก้ไข ) โดยไม่มีคำเตือนที่ดี
มีจุดบกพร่องอย่างน้อยสองสามตัวที่ได้รับการแก้ไขใน Firefox เวอร์ชันกระแสหลักที่ไม่ปรากฏใน ESR ดังนั้นจึงไม่สามารถแก้ไขได้ในนั้น เนื่องจากเป็นข้อบกพร่องใหม่ มีการแนะนำในโค้ดใหม่ที่เพิ่มเข้ามาเพื่อรองรับคุณลักษณะใหม่ .
นี่เป็นอีกเหตุผลหนึ่งที่ผู้ดูแลระบบบางคนชอบซอฟต์แวร์สไตล์ ESR เนื่องจากโค้ดในเวอร์ชันเหล่านั้นได้รับการตรวจสอบในชีวิตจริงจากพันธุกรรมเป็นเวลานาน โดยไม่ล้าหลังในแพตช์ความปลอดภัย
อันที่จริง Mozilla ยังคงรักษา ESR ไว้สองเวอร์ชัน เพื่อให้คุณสามารถลองใช้ ESR เวอร์ชันก่อนหน้าและเวอร์ชันปัจจุบันได้ในเวลาเดียวกันก่อนที่จะทำการเปลี่ยน ดังนั้นจึงไม่จำเป็นต้องใช้เวอร์ชันที่ล้ำสมัยในเครือข่ายการผลิตของเราเลย (ดูหมายเลขเวอร์ชันล่าสุดของเวอร์ชันทั้งหมดที่สนับสนุนในปัจจุบันด้านล่าง)
ทำให้การคลิกของคุณเข้าใจผิด
จากข้อบกพร่องอีก XNUMX รายการในรายการแพตช์ เราคิดว่าสองจุดที่น่าสนใจและมีความสำคัญ เนื่องจากทั้งคู่ให้โอกาสผู้โจมตีเพื่อหลอกล่อให้คุณคลิกสิ่งที่ไม่เป็นไปตามที่เห็น:
- CVE-2022-36319: การปลอมแปลงตำแหน่งเมาส์ด้วยการแปลง CSS พูดง่ายๆ ก็คือ ข้อผิดพลาดนี้หมายความว่าเว็บไซต์ที่มีช่องโหว่อาจทำให้ตัวชี้เมาส์ของคุณอยู่ในตำแหน่งได้ อยู่ผิดที่ ในหน้าต่างเบราว์เซอร์ เพื่อไม่ให้การคลิกเมาส์ของคุณลงทะเบียนในที่ที่คุณคาดหวัง เคล็ดลับนี้เรียกโดยทั่วไปว่า คลิกแจ็คที่นักต้มตุ๋นทำให้คุณคิดว่าคุณกำลังคลิกอยู่ในที่ที่ปลอดภัย โดยที่จริงแล้วคุณกำลังคลิกลิงก์หรือปุ่มที่คุณตั้งใจจะหลีกเลี่ยง ถ้าเพียงแต่คุณเท่านั้นที่รู้ ในรูปแบบที่ง่ายที่สุด Clickjacking สามารถสร้างไลค์บนโซเชียลมีเดียปลอมหรือการแสดงโฆษณาที่ไม่ต้องการได้ ที่แย่ที่สุด มันสามารถทำให้คุณได้รับอันตรายโดยตรงจากการโจมตีแบบฟิชชิงหรือการดาวน์โหลดปลอมที่ไม่ชัดเจน แม้ว่าคุณจะมองหามันอยู่ก็ตาม
- CVE-2022-36314: เปิดในท้องถิ่น
.lnk
ไฟล์อาจทำให้ โหลดเครือข่ายที่ไม่คาดคิด.LNK
ไฟล์คือ ทางลัดของ Windowsซึ่งเป็นทั้ง เวิร์มความปลอดภัยกระป๋อง ในสิทธิของตนเอง. (อา.LNK
file แอบเปลี่ยนเส้นทางคุณไปยังไฟล์ประเภท X เช่น.EXE
ในขณะที่นำเสนอตัวเองด้วยไอคอนประเภท Y เช่น.PDF
.) ในกรณีนี้ เว็บลิงค์ที่ระบุ local .LNK
ไฟล์ ถ้าคลิก อาจเปลี่ยนเส้นทางคุณไปยังไฟล์ที่จัดเก็บไว้ที่ใดที่หนึ่งในเครือข่ายแทน แม้ว่าจะไม่มีข้อเสนอแนะว่าข้อมูลที่ดึงด้วยวิธีนี้สามารถใช้สำหรับการเรียกใช้โค้ดจากระยะไกลได้ (กล่าวคือ ทำการเปลี่ยนแปลงโดยไม่ได้รับอนุญาต รวมถึงการฝังมัลแวร์) คุณอาจถูกหลอกให้เชื่อถือเนื้อหาระยะไกลได้อย่างง่ายดายโดยเข้าใจผิดว่าเป็นข้อมูลในเครื่อง . คำขอเครือข่ายใด ๆ รั่วไหล บาง ข้อมูลไปยังบุคคลที่เรียกใช้เซิร์ฟเวอร์ที่ปลายอีกด้านหนึ่ง ดังนั้น เบราว์เซอร์ของคุณจึงต้องให้ข้อมูลที่ถูกต้องแม่นยำว่าแต่ละลิงก์ที่คุณคลิกจะพาคุณไปที่ใด
เรียนรู้เพิ่มเติมเกี่ยวกับทางลัดและมัลแวร์
จะทำอย่างไร?
ตามปกติ ไปที่ การช่วยเหลือ > เกี่ยวกับ Firefox และดูว่ากล่องป๊อปอัปบอกคุณหรือไม่ Firefox is up to date
หรือเสนอปุ่มคลิกได้ที่มีป้ายกำกับ [Update to X]
.
คราวนี้ เวอร์ชั่นที่คุณตามหาคือ 103.0 (ถ้าคุณกำลังใช้ รุ่นกระแสหลัก), อีเอสอาร์ 102.1 (ถ้าคุณอยู่บน ESR เวอร์ชันล่าสุด), หรือ อีเอสอาร์ 91.12 (ถ้าคุณอยู่บน รส ESR ที่เก่าแก่ที่สุด).
ดังที่เราได้อธิบายไปก่อนหน้านี้แล้ว แต่คิดว่ามันคุ้มค่าที่จะพูดถึงอีกครั้ง ตัวเลขสองตัวในตัวระบุรุ่น ESR รวมกันเพื่อระบุรุ่นหลักที่ตรงกันในแง่ของการอัปเดตความปลอดภัย
ดังนั้น เนื่องจากเวอร์ชันกระแสหลักในปัจจุบันคือ 103คุณสามารถบอกได้เร็วกว่า 102.1 ESRs (102+1 = 103) และ 91.12 ESRs (91+12 = 103) เป็นรุ่นใหม่ล่าสุดในสายเลือดที่เกี่ยวข้อง
- blockchain
- คลิกแจ็ค
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- Firefox
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- Mozilla
- ความปลอดภัยเปล่า
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความอ่อนแอ
- ความปลอดภัยของเว็บไซต์
- ลมทะเล