Cập nhật gần đây cho Apple Safari và Google Chrome đã gây chú ý lớn vì họ đã sửa các lỗi khai thác zero-day bí ẩn đã được sử dụng rộng rãi.
Nhưng tuần này cũng chứng kiến bản cập nhật Firefox bốn tuần mới nhất, giảm như thường lệ vào thứ Ba, bốn tuần sau lần phát hành tăng số lượng phiên bản đầy đủ theo lịch trình cuối cùng.
Chúng tôi chưa viết về bản cập nhật này cho đến bây giờ bởi vì tin tốt là…
…rằng mặc dù đã có một số bản sửa lỗi hấp dẫn và quan trọng với mức độ Cao, không có ngày 0 nào cả, hoặc thậm chí không có Quan trọng lỗi trong tháng này.
Lỗi an toàn bộ nhớ
Như thường lệ, nhóm Mozilla đã giao cho hai số CVE tổng thể đối với các lỗi mà họ đã tìm thấy và sửa bằng cách sử dụng các kỹ thuật chủ động như làm mờ, trong đó mã lỗi được tự động phát hiện các sai sót, ghi lại và vá mà không cần đợi ai đó tìm ra cách khai thác các lỗi đó:
- CVE-2022-38477 bao gồm các lỗi chỉ ảnh hưởng đến các bản dựng Firefox dựa trên mã của phiên bản 102 trở lên, đây là cơ sở mã được sử dụng bởi phiên bản chính, hiện đã được cập nhật lên 104.0và phiên bản Bản phát hành hỗ trợ mở rộng chính, hiện là ESR 102.2.
- CVE-2022-38478 bao gồm các lỗi bổ sung tồn tại trong mã Firefox kể từ phiên bản 91, vì đó là nền tảng của Bản phát hành hỗ trợ mở rộng thứ cấp, hiện có giá trị ESR 91.13.
Như thường lệ, Mozilla đủ dễ hiểu để đưa ra tuyên bố đơn giản rằng:
Một số lỗi trong số này cho thấy bằng chứng về việc bộ nhớ bị hỏng và chúng tôi cho rằng nếu có đủ nỗ lực, một số lỗi này có thể đã bị khai thác để chạy mã tùy ý.
ESR được làm sáng tỏ
Như chúng tôi đã giải thích trước đây, Bản phát hành hỗ trợ mở rộng của Firefox nhằm vào người dùng gia đình bảo thủ và quản trị viên hệ thống của công ty, những người muốn trì hoãn các bản cập nhật tính năng và thay đổi chức năng, miễn là họ không bỏ lỡ các bản cập nhật bảo mật khi làm như vậy.
Các số phiên bản ESR kết hợp với nhau để cho bạn biết bạn có bộ tính năng nào, cộng với số lượng bản cập nhật bảo mật đã có kể từ khi phiên bản đó ra mắt.
Vì vậy đối với ESR 102.2, chúng ta có 102+2 = 104 (phiên bản cao cấp hiện nay).
Tương tự, đối với ESR 91.13, chúng ta có 91+13 = 104, để làm rõ rằng mặc dù phiên bản 91 vẫn quay trở lại với bộ tính năng từ khoảng một năm trước, nhưng nó đã được cập nhật liên quan đến các bản vá bảo mật.
Lý do luôn có hai ESR là để cung cấp khoảng thời gian nhân đôi đáng kể giữa các phiên bản, do đó, bạn không bao giờ gặp khó khăn khi sử dụng các tính năng mới chỉ để nhận các bản sửa lỗi bảo mật – luôn có sự chồng chéo trong đó bạn có thể tiếp tục sử dụng ESR cũ trong khi thử ESR mới để sẵn sàng cho việc chuyển đổi cần thiết trong tương lai.
Lỗi giả mạo niềm tin
Hai lỗ hổng cụ thể và rõ ràng có liên quan đến nhau làm Cao thể loại tháng này là:
- CVE-2022-38472: Giả mạo thanh địa chỉ thông qua xử lý lỗi XSLT.
- CVE-2022-38473: Tài liệu XSLT có nguồn gốc chéo sẽ kế thừa các quyền của cấp độ gốc.
Như bạn có thể tưởng tượng, những lỗi này có nghĩa là nội dung giả mạo được tìm nạp từ một trang web trông có vẻ vô hại có thể khiến Firefox lừa bạn tin tưởng những trang web mà bạn không nên tin tưởng.
Trong lỗi đầu tiên, Firefox có thể bị dụ dỗ trình bày nội dung được cung cấp từ một trang web không xác định và không đáng tin cậy như thể nó đến từ một URL được lưu trữ trên máy chủ mà bạn đã biết và tin cậy.
Trong lỗi thứ hai, nội dung web từ một trang X không đáng tin cậy được hiển thị trong cửa sổ phụ (một IFRAME, viết tắt của khung nội tuyến) trong một trang web đáng tin cậy Y…
…có thể dẫn đến các quyền bảo mật “mượn” từ cửa sổ chính Y mà bạn không mong đợi sẽ được chuyển (và bạn sẽ không cố ý cấp) cho X, bao gồm cả quyền truy cập vào webcam và micrô của bạn.
Phải làm gì?
Trên máy tính để bàn hoặc máy tính xách tay, hãy truy cập Trợ giúp > Về Firefox để kiểm tra xem bạn có cập nhật hay không.
Nếu không, Giới thiệu sẽ nhắc bạn tải xuống và kích hoạt bản cập nhật cần thiết – bạn đang tìm kiếm 104.0, hoặc là ESR 102.2, hoặc là ESR 91.13, tùy thuộc vào loạt bản phát hành mà bạn đang sử dụng.
Trên điện thoại di động của bạn, hãy kiểm tra với Google play hoặc là Apple App Store để đảm bảo bạn có phiên bản mới nhất.
Trên Linux và BSD, nếu bạn đang dựa vào phiên bản Firefox do nhà phân phối của bạn đóng gói, hãy kiểm tra với nhà sản xuất bản phân phối của bạn để biết phiên bản mới nhất mà họ đã xuất bản.
Chúc bạn vá lỗi vui vẻ!
- blockchain
- thiên tài
- ví tiền điện tử
- trao đổi tiền điện tử
- an ninh mạng
- tội phạm mạng
- An ninh mạng
- bộ phận an ninh quê hương
- ví kỹ thuật số
- Firefox
- tường lửa
- Kaspersky
- phần mềm độc hại
- macfee
- Mozilla
- An ninh trần trụi
- NexBLOC
- Vá
- plato
- Plato ai
- Thông tin dữ liệu Plato
- Trò chơi Plato
- PlatoDữ liệu
- Platogaming
- VPN
- dễ bị tổn thương
- bảo mật website
- zephyrnet
![S3 Ep107: Tám tháng đuổi kẻ gian mà bạn cho là TỐT? [Âm thanh + Văn bản] Thông minh dữ liệu PlatoBlockchain. Tìm kiếm dọc. Ái.](https://platoblockchain.com/wp-content/uploads/2022/09/bn-1200-300x157.png "S3 Ep107: Tám tháng để đuổi kẻ gian và bạn nghĩ điều đó TỐT? [Âm thanh + Văn bản]")
![S3 Ep94: Loại mật mã này (đồ thị) và loại mật mã khác (tiền tệ!) [Âm thanh + Văn bản] PlatoBlockchain Data Intelligence. Tìm kiếm dọc. Ái.](https://platoblockchain.com/wp-content/uploads/2022/08/s3-ep94-200000000-300x157.png "S3 Ep94: Loại tiền điện tử này (graphy) và loại tiền điện tử khác (tiền tệ!) [Âm thanh + Văn bản]")
