Firefox 104 is out – no critical bugs, but update anyway PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Firefox 104 ختم ہو گیا ہے – کوئی اہم کیڑے نہیں، لیکن بہرحال اپ ڈیٹ کریں۔

ٹائم سٹیمپ: 26 اگست 2022 شام 12:27 بجے

by
پال ڈکلن

کے لیے حالیہ اپ ڈیٹس ایپل سفاری اور گوگل کروم بڑی سرخیاں بنائیں کیونکہ انہوں نے پراسرار صفر دن کے کارناموں کو طے کیا جو پہلے ہی جنگل میں استعمال ہو رہے تھے۔

لیکن اس ہفتے نے تازہ ترین چار ہفتہ وار فائر فاکس اپ ڈیٹ بھی دیکھا، جو ہمیشہ کی طرح گرا منگل کو، آخری طے شدہ مکمل-ورژن-نمبر-انکریمنٹ ریلیز کے چار ہفتے بعد۔

ہم نے ابھی تک اس اپ ڈیٹ کے بارے میں نہیں لکھا ہے کیونکہ، ٹھیک ہے، کیونکہ اچھی خبر یہ ہے کہ…

… کہ اگرچہ اس کی سطح کے ساتھ کچھ دلچسپ اور اہم اصلاحات موجود تھیں۔ ہائی، کوئی صفر دن نہیں تھے، یا کوئی بھی کریٹکل اس مہینے کیڑے

میموری سیفٹی کیڑے

ہمیشہ کی طرح، موزیلا ٹیم نے دو کو تفویض کیا۔ غالب CVE نمبر کیڑے جو انہوں نے فعال تکنیکوں کا استعمال کرتے ہوئے پایا اور درست کیا جیسے فزنگ، جہاں بگی کوڈ خود بخود خامیوں کی جانچ پڑتال، دستاویزی، اور کسی کا انتظار کیے بغیر پیچ کیا جاتا ہے کہ یہ اندازہ لگایا جائے کہ وہ کیڑے کتنے فائدہ مند ہوسکتے ہیں:

  • CVE-2022-38477 کیڑے کا احاطہ کرتا ہے جو ورژن 102 اور بعد کے کوڈ کی بنیاد پر صرف فائر فاکس کی تعمیرات کو متاثر کرتا ہے، جو کہ مرکزی ورژن کے ذریعے استعمال ہونے والا کوڈ بیس ہے، جسے اب اپ ڈیٹ کیا گیا ہے۔ 104.0، اور بنیادی توسیعی سپورٹ ریلیز ورژن، جو اب ہے۔ ESR 102.2.
  • CVE-2022-38478 اضافی کیڑے کا احاطہ کرتا ہے جو فائر فاکس کوڈ میں موجود ہیں جو ورژن 91 پر واپس جا رہے ہیں، کیونکہ یہی ثانوی توسیعی سپورٹ ریلیز کی بنیاد ہے، جو اب اس مقام پر ہے۔ ESR 91.13.

ہمیشہ کی طرح، Mozilla سادہ سا اعلان کرنے کے لیے کافی سادہ بول رہا ہے کہ:

ان میں سے کچھ کیڑے نے میموری کی خرابی کے ثبوت دکھائے اور ہم سمجھتے ہیں کہ کافی کوشش کے ساتھ ان میں سے کچھ کو من مانی کوڈ چلانے کے لیے استعمال کیا جا سکتا تھا۔

ESR demystified

جیسا کہ ہم پہلے بیان کر چکے ہیں، فائر فاکس توسیعی سپورٹ ریلیز اس کا مقصد قدامت پسند گھریلو صارفین اور کارپوریٹ sysadmins کے لیے ہے جو فیچر اپ ڈیٹس اور فعالیت میں تبدیلیوں میں تاخیر کو ترجیح دیتے ہیں، جب تک کہ وہ ایسا کرنے سے سیکیورٹی اپ ڈیٹس سے محروم نہ ہوں۔

ESR ورژن نمبر آپ کو یہ بتانے کے لیے یکجا ہو جاتے ہیں کہ آپ کے پاس کون سا فیچر سیٹ ہے، اس کے علاوہ اس ورژن کے سامنے آنے کے بعد سے سیکیورٹی کے کتنے اپ ڈیٹس ہو چکے ہیں۔

اب تک ESR 102.2، ہمارے پاس 102+2 = 104 (موجودہ لیڈنگ ایج ورژن) ہے۔

اسی طرح، کے لئے ESR 91.13ہمارے پاس 91+13 = 104 ہے، یہ واضح کرنے کے لیے کہ اگرچہ ورژن 91 اب بھی تقریباً ایک سال پہلے کے فیچر پر واپس آ گیا ہے، لیکن جہاں تک سیکیورٹی پیچ کا تعلق ہے، یہ تازہ ترین ہے۔

کسی بھی وقت دو ESRs ہونے کی وجہ یہ ہے کہ ورژنز کے درمیان کافی ڈبل اپ مدت فراہم کی جائے، اس لیے آپ کبھی بھی حفاظتی اصلاحات حاصل کرنے کے لیے نئے فیچرز کو لینے سے باز نہیں آتے ہیں - ہمیشہ ایک اوورلیپ ہوتا ہے جس کے دوران آپ پرانے ESR کو استعمال کرتے رہ سکتے ہیں۔ مستقبل میں ضروری سوئچ اوور کے لیے تیار ہونے کے لیے نئے ESR کو آزماتے ہوئے

ٹرسٹ سپوفنگ کیڑے

دو مخصوص اور بظاہر متعلقہ خطرات جو بنا دیا ہائی قسم اس مہینے تھے:

  • CVE-2022-38472: XSLT ایرر ہینڈلنگ کے ذریعے ایڈریس بار سپوفنگ۔
  • CVE-2022-38473: کراس اوریجن XSLT دستاویزات کو والدین کی اجازت وراثت میں ملی ہوگی۔

جیسا کہ آپ تصور کر سکتے ہیں، ان بگز کا مطلب یہ ہے کہ کسی دوسری صورت میں معصوم نظر آنے والی سائٹ سے حاصل کیا گیا بدمعاش مواد فائر فاکس آپ کو ایسے ویب صفحات پر بھروسہ کرنے پر مجبور کر سکتا ہے جو آپ کو نہیں کرنا چاہیے۔

پہلے بگ میں، فائر فاکس کو کسی نامعلوم اور غیر بھروسہ مند سائٹ سے پیش کردہ مواد پیش کرنے کا لالچ دیا جا سکتا ہے گویا یہ کسی سرور پر ہوسٹ کردہ URL سے آیا ہے جسے آپ پہلے سے جانتے اور بھروسہ کرتے ہیں۔

دوسرے بگ میں، ایک غیر بھروسہ مند سائٹ X سے ویب مواد کو ذیلی ونڈو میں دکھایا گیا ہے (ایک IFRAME، مختصرا ان لائن فریم) ایک قابل اعتماد سائٹ کے اندر Y…

...آپ کے ویب کیم اور مائکروفون تک رسائی سمیت، پیرنٹ ونڈو Y سے سیکیورٹی اجازت "ادھار" کے ساتھ ختم ہوسکتی ہے جسے آپ X کو منتقل کرنے کی توقع نہیں کریں گے (اور یہ کہ آپ جان بوجھ کر نہیں دیں گے)۔

کیا کیا جائے؟

ڈیسک ٹاپ یا لیپ ٹاپ پر، پر جائیں۔ مدد > فائر فاکس کے بارے میں چیک کرنے کے لیے کہ آیا آپ اپ ٹو ڈیٹ ہیں۔

اگر نہیں، تو ہمارے بارے میں ونڈو آپ کو مطلوبہ اپ ڈیٹ ڈاؤن لوڈ اور چالو کرنے کا اشارہ کرے گی - آپ تلاش کر رہے ہیں۔ 104.0، یا ESR 102.2، یا ESR 91.13اس پر منحصر ہے کہ آپ کس ریلیز سیریز پر ہیں۔

اپنے موبائل فون پر، چیک کریں۔ گوگل کھیلیں یا ایپل اپلی کیشن سٹور یہ یقینی بنانے کے لیے کہ آپ کو تازہ ترین ورژن مل گیا ہے۔

لینکس اور BSDs پر، اگر آپ Firefox کے اپنے ڈسٹری بیوشن کے ذریعے پیک کیے گئے ورژن پر انحصار کر رہے ہیں، تو اپنے ڈسٹرو میکر سے ان کے شائع کردہ تازہ ترین ورژن کے لیے چیک کریں۔

مبارک پیچ!

ٹائم اسٹیمپ:

سے زیادہ ننگی سیکیورٹی