Помірне щомісячне оновлення безпеки від Firefox – але все одно оновлюйте

Настав час для запланованого оновлення Firefox на цей місяць (технічно, з 28 днями між оновленнями, іноді ви отримуєте два оновлення в одному календарному місяці, але липень 2022 року не є одним із таких місяців)…

…і хороша новина полягає в тому, що перераховані найгірші помилки, які отримують категорію ризику Високий, це ті, що знайдені самою Mozilla за допомогою автоматизованих інструментів пошуку помилок і об’єднані разом під двома розгалуженими номерами CVE:

• CVE-2022-36320: Безпека пам'яті помилки виправлені у Firefox 103.
• CVE-2022-2505: Безпека пам'яті помилки виправлені у Firefox 103 і 102.1.

Причина того, що ці помилки розділені на дві групи, полягає в тому, що Mozilla офіційно підтримує два варіанти свого браузера.

Є остання й найкраща версія, наразі 103, яка містить усі найновіші функції та відповідні виправлення безпеки.

Крім того, є версія Extended Support Release (ESR), яка синхронізується з функціями останньої версії кожні кілька місяців, але в проміжках між ними отримує лише оновлення безпеки, таким чином додаючи нові функції лише після того, як вони стануть доступними для випробування в деякий час основна версія.

Як ви можете собі уявити, системним адміністраторам та ІТ-командам, які підтримують Firefox на роботі, часто подобається ESR, тому що це означає, що їм не потрібно нав’язувати нові функції власним користувачам (або приймати неминучі дзвінки в службу підтримки щодо нових параметрів меню, різних піктограм і зміненої поведінки ) без належного попередження.

Майже завжди є принаймні кілька виправлених помилок у основній версії Firefox, які не відображаються в ESR, і, отже, не можуть бути виправлені там, оскільки помилки є новими, представленими в новому коді, доданому для підтримки нових функцій .

Це ще одна причина, чому деяким системним адміністраторам подобається програмне забезпечення у стилі ESR, враховуючи те, що код у цих версіях, як правило, довше піддається ретельній перевірці в реальному житті, не відстаючи від патчів безпеки.

Насправді Mozilla зберігає дві версії ESR, тож ви можете спробувати попередню та поточну версії ESR одночасно, перш ніж переходити на іншу систему, тож вам взагалі не знадобиться використовувати передову версію у вашій робочій мережі. (Нижче наведено номери останніх версій усіх підтримуваних версій.)

Введення в оману ваших кліків

З інших шести помилок у списку виправлень ми вважаємо дві інтригуючими та важливими, оскільки обидві вони дають зловмисникам шанс обманом змусити вас натиснути щось, що не є тим, чим здається:

• CVE-2022-36319: Підробка позиції миші за допомогою перетворень CSS. Простіше кажучи, ця помилка означає, що замінований веб-сайт може залишити вказівник миші на місці не в тому місці у вікні браузера, щоб клацання мишею не реєструвалося там, де ви очікуєте. Цей трюк загальновідомий як clickjacking, де шахрай змушує вас думати, що ви натискаєте десь у безпечному місці, хоча насправді ви натискаєте посилання чи кнопку, яку б навмисно уникали, якби тільки знали. У своїй найпростішій формі клікджекінг може створити фальшиві лайки в соціальних мережах або небажані покази реклами. У гіршому випадку це може завдати вам шкоди через фішингові атаки чи неочевидні підроблені завантаження, навіть якщо ви шукаєте їх.
• CVE-2022-36314: Відкриття локальне .lnk файли можуть спричинити непередбачені навантаження на мережу. LNK файли є Ярлики Windows, які є одним цілим може хробаків безпеки по-своєму. (А .LNK файл може непомітно перенаправити вас до файлу типу X, наприклад .EXE, представляючи себе піктограмою типу Y, наприклад .PDF.) У цьому випадку веб-посилання, яке вказує локальний .LNK файл, якщо натиснути на нього, можна переспрямувати вас до файлу, який зберігається десь у мережі. Хоча немає жодних припущень, що дані, отримані таким чином, можна використовувати для віддаленого виконання коду (іншими словами, для внесення неавторизованих змін, включаючи імплантацію зловмисного програмного забезпечення), вас легко можуть обманом змусити довіряти віддаленому вмісту під помилковим враженням, що це локальні дані. . Витік будь-якого мережевого запиту деякі інформацію людині, яка керує сервером на іншому кінці, тому важливо, щоб ваш браузер давав вам точне уявлення про те, куди вас приведе кожне посилання, яке ви натискаєте.

ДІЗНАЙТЕСЯ БІЛЬШЕ ПРО ЯРЛИКИ ТА ШКІДЛИВЕ ПЗ

Що ж робити?

Як завжди, переходьте до Документи > Про Firefox і подивіться, чи повідомляє спливаюче вікно Firefox is up to date або пропонує кнопку з позначкою, яку можна натиснути [Update to X].

Цього разу версія, яку ви шукаєте 103.0 (якщо ви використовуєте основна версія), ШОЕ 102.1 (якщо ви на остання версія ESR), або ШОЕ 91.12 (якщо ви на найстаріший смак ESR).

Як ми вже пояснювали раніше, але вважаю, що це варто згадати ще раз, дві цифри в ідентифікаторах випуску ESR додаються разом, щоб позначити основний випуск, якому вони збігаються з точки зору оновлень безпеки.

Отже, враховуючи, що поточна основна версія є 103, ви можете швидко сказати, ніж 102.1 ШОЕ (102+1 = 103) і 91.12 ШОЕ (91+12 = 103) — найновіші випуски у відповідних лініях.