Firefox 104 вийшов – критичних помилок немає, але все одно оновіть

Останні оновлення для Apple Safari та Google Chrome зробили гучні заголовки, оскільки виправили таємничі експлойти нульового дня, які вже використовувалися в дикій природі.

Але цього тижня також відбулося останнє чотиритижневе оновлення Firefox, яке випав як завжди у вівторок, через чотири тижні після останнього запланованого випуску повного збільшення номера версії.

Ми не писали про це оновлення досі, тому що, ну, тому що хороша новина...

…хоча було кілька інтригуючих і важливих виправлень з рівнем Високий, не було ні нульових, ні навіть жодних Критичний помилок цього місяця.

Помилки безпеки пам'яті

Як завжди, команда Mozilla призначила двох загальні номери CVE до помилок, які вони знайшли та виправили за допомогою проактивних методів, таких як фаззинг, коли помилковий код автоматично перевіряється на недоліки, документується та виправляється, не чекаючи, поки хтось з’ясує, наскільки ці помилки можна використати:

• CVE-2022-38477 охоплює помилки, які впливають лише на збірки Firefox, засновані на коді версії 102 і пізніших, що є кодовою базою, що використовується основною версією, тепер оновленою до 104.0, а також основну версію розширеної підтримки, яка є зараз ШОЕ 102.2.
• CVE-2022-38478 охоплює додаткові помилки, які існують у коді Firefox, починаючи з версії 91, тому що це основа вторинного випуску розширеної підтримки, який зараз стоїть на ШОЕ 91.13.

Як завжди, Mozilla досить просто говорить, щоб зробити просту заяву, що:

Деякі з цих помилок свідчать про пошкодження пам’яті, і ми припускаємо, що, доклавши достатніх зусиль, деякі з них можна було використати для запуску довільного коду.

ШОЕ демістифікована

Як ми пояснювали раніше, Firefox Розширена підтримка випуску призначений для консервативних домашніх користувачів і корпоративних системних адміністраторів, які вважають за краще відкладати оновлення функцій і функціональні зміни, доки вони не пропустять оновлення системи безпеки.

Номери версій ESR поєднуються, щоб сказати вам, який набір функцій у вас є, а також скільки оновлень безпеки було випущено з моменту виходу цієї версії.

Отже, для ШОЕ 102.2, маємо 102+2 = 104 (поточна передова версія).

Так само для ШОЕ 91.13, ми маємо 91+13 = 104, щоб було зрозуміло, що хоча версія 91 все ще повертається до набору функцій приблизно року тому, вона є актуальною, що стосується виправлень безпеки.

Причина, по якій у будь-який момент існує два ESR, полягає в тому, щоб забезпечити значний період подвійного оновлення між версіями, тож ви ніколи не застрягнете в застосуванні нових функцій лише для отримання виправлень безпеки – завжди є перекриття, протягом якого ви можете продовжувати використовувати старий ESR. випробовуючи новий ESR, щоб підготуватися до необхідного переходу в майбутньому.

Помилки підробки довіри

Дві специфічні та, очевидно, пов’язані вразливості, які зробив Високий категорія цього місяця були:

• CVE-2022-38472: Підробка адресного рядка через обробку помилок XSLT.
• CVE-2022-38473: Документи XSLT різного походження успадкували б батьківські дозволи.

Як ви можете собі уявити, ці помилки означають, що шахрайський вміст, отриманий із невинного на вигляд сайту, може призвести до того, що Firefox обманом змусить вас довіряти веб-сторінкам, яким не варто.

У першій помилці Firefox можна було спокусити представити вміст, який надходить із невідомого та ненадійного сайту, так, ніби він надходить із URL-адреси, розміщеної на сервері, який ви вже знаєте та якому довіряєте.

У другій помилці веб-контент із ненадійного сайту X відображається у підвікні (an IFRAME, скорочено вбудована рамка) на надійному сайті Y…

…може закінчитися дозволами безпеки, «позиченими» з батьківського вікна Y, які ви не очікуєте передати (і які свідомо не надасте) X, включаючи доступ до вашої веб-камери та мікрофона.

Що ж робити?

На настільних комп’ютерах або ноутбуках перейдіть до Документи > Про Firefox щоб перевірити, чи ви в курсі подій.

Якщо ні, то МЕНЮ вікно запропонує вам завантажити й активувати потрібне оновлення – яке ви шукаєте 104.0або ШОЕ 102.2або ШОЕ 91.13, залежно від серії випусків, яку ви використовуєте.

На своєму мобільному телефоні зв’яжіться з в Google Play або Apple App Store щоб переконатися, що ви маєте останню версію.

У Linux і BSD, якщо ви покладаєтеся на версію Firefox, що входить у ваш дистрибутив, зверніться до виробника дистрибутива щодо останньої опублікованої версії.

Щасливого виправлення!

---