Cập nhật bảo mật nhẹ hàng tháng từ Firefox - nhưng vẫn cập nhật

Đã đến lúc cập nhật Firefox theo lịch trình của tháng này (về mặt kỹ thuật, với 28 ngày giữa các lần cập nhật, đôi khi bạn nhận được hai bản cập nhật trong một tháng dương lịch, nhưng tháng 2022 năm XNUMX không phải là một trong những tháng đó)…

… Và tin tốt là lỗi tồi tệ nhất được liệt kê, có một loại rủi ro là Cao, là những thứ do chính Mozilla tìm thấy bằng cách sử dụng các công cụ săn lỗi tự động và được gộp chung dưới hai số CVE thu thập:

• CVE-2022-36320: An toàn bộ nhớ lỗi cố định trong Firefox 103.
• CVE-2022-2505: An toàn bộ nhớ lỗi cố định trong Firefox 103 và 102.1.

Lý do mà những lỗi này được chia thành hai nhóm là Mozilla chính thức hỗ trợ hai phiên bản trình duyệt của mình.

Có phiên bản mới nhất và tuyệt vời nhất, hiện tại là 103, có tất cả các tính năng mới nhất và các bản sửa lỗi bảo mật liên quan.

Và có hương vị Bản phát hành hỗ trợ mở rộng (ESR), đồng bộ hóa với các tính năng trong phiên bản mới nhất vài tháng một lần, nhưng ở giữa chỉ nhận được các bản cập nhật bảo mật, do đó chỉ mang lại các tính năng mới sau khi chúng có sẵn để dùng thử trong phiên bản chính thống trong một thời gian.

Như bạn có thể tưởng tượng, các sysadmins và các nhóm CNTT hỗ trợ Firefox tại nơi làm việc thường thích ESR vì điều đó có nghĩa là họ không phải cung cấp các tính năng mới cho người dùng của mình (hoặc nhận các cuộc gọi hỗ trợ không thể tránh khỏi về các tùy chọn menu mới, các biểu tượng khác nhau và hành vi được sửa đổi ) mà không có cảnh báo tốt.

Hầu như luôn có ít nhất một vài lỗi được sửa trong phiên bản Firefox chính không xuất hiện trong ESR, và do đó không thể sửa được ở đó, vì các lỗi là mới, được giới thiệu trong mã mới được thêm vào để hỗ trợ các tính năng mới. .

Đây là một lý do khác mà một số sysadmins thích phần mềm kiểu ESR, vì mã trong các phiên bản đó về cơ bản đã được tiếp xúc với sự giám sát thực tế lâu hơn mà không bị tụt hậu trong các bản vá bảo mật.

Trên thực tế, Mozilla vẫn giữ lại hai phiên bản ESR, để bạn có thể thử các phiên bản ESR trước đó và hiện tại cùng một lúc trước khi thực hiện chuyển đổi, do đó không bao giờ cần sử dụng phiên bản tiên tiến nhất trong mạng sản xuất của bạn. (Xem bên dưới để biết số phiên bản mới nhất của tất cả các phiên bản hiện được hỗ trợ.)

Gây hiểu lầm cho các nhấp chuột của bạn

Trong số sáu lỗi khác trong danh sách bản vá, chúng tôi nghĩ rằng hai lỗi hấp dẫn và quan trọng, bởi vì cả hai lỗi đều tạo cơ hội cho những kẻ tấn công lừa bạn nhấp vào một cái gì đó không giống như nó có vẻ:

• CVE-2022-36319: Giả mạo Vị trí Chuột bằng các chuyển đổi CSS. Nói một cách đơn giản, lỗi này có nghĩa là một trang web bị bẫy có thể khiến con trỏ chuột của bạn ở vị trí ở sai chỗ trong cửa sổ trình duyệt, do đó việc nhấp chuột của bạn sẽ không đăng ký ở nơi bạn mong đợi. Thủ thuật này thường được gọi là clickjacking, nơi mà kẻ lừa đảo khiến bạn nghĩ rằng bạn đang nhấp vào một nơi nào đó an toàn, trong khi thực tế bạn đang nhấp vào một liên kết hoặc nút mà bạn cố tình tránh nếu chỉ mình bạn biết. Ở dạng đơn giản nhất, clickjacking có thể tạo ra các lượt thích trên mạng xã hội giả mạo hoặc các lần hiển thị quảng cáo không mong muốn. Tệ nhất, nó có thể khiến bạn bị tổn hại trực tiếp từ các cuộc tấn công lừa đảo hoặc tải xuống giả mạo mà không rõ ràng, ngay cả khi bạn đang tìm kiếm chúng.
• CVE-2022-36314: Khai trương địa phương .lnk các tập tin có thể gây ra tải mạng không mong muốn. LNK tập tin là Các phím tắt của Windows, đó là một tổng thể lon giun an ninh trong cái đúng riêng của họ. (MỘT .LNK tệp có thể lén lút chuyển hướng bạn đến tệp loại X, chẳng hạn như .EXE, trong khi tự trình bày bằng biểu tượng kiểu Y, chẳng hạn như .PDF.) Trong trường hợp này, một liên kết web chỉ định cục bộ.LNK tệp, nếu được nhấp vào, có thể chuyển hướng bạn đến tệp được lưu trữ ở đâu đó trên mạng. Mặc dù không có gợi ý rằng dữ liệu được tìm nạp theo cách này có thể được sử dụng để thực thi mã từ xa (nói cách khác, để thực hiện các thay đổi trái phép, bao gồm cả việc cấy phần mềm độc hại), bạn có thể dễ dàng bị lừa khi tin tưởng nội dung từ xa với ấn tượng nhầm rằng đó là dữ liệu cục bộ . Bất kỳ yêu cầu mạng nào bị rò rỉ một số thông tin cho người đang điều hành máy chủ ở đầu bên kia, vì vậy điều quan trọng là trình duyệt của bạn phải cung cấp cho bạn ý tưởng chính xác về nơi mỗi liên kết bạn nhấp vào sẽ đưa bạn đến.

TÌM HIỂU THÊM VỀ SHORTCUTS VÀ PHẦN MỀM

Phải làm gì?

Như thường lệ, đi tới Trợ giúp > Về Firefox và xem liệu hộp bật lên có cho bạn biết Firefox is up to date hoặc cung cấp cho bạn một nút có thể nhấp được gắn nhãn [Update to X].

Lần này, phiên bản bạn đang theo đuổi là 103.0 (nếu bạn đang sử dụng phiên bản chính thống), ESR 102.1 (nếu bạn đang trên phiên bản ESR gần đây nhất), hoặc là ESR 91.12 (nếu bạn đang trên hương vị ESR lâu đời nhất).

Như chúng tôi đã giải thích trước đây, nhưng nghĩ rằng điều đáng nói lại là hai con số trong số nhận dạng bản phát hành ESR cộng lại với nhau để biểu thị bản phát hành chính thống mà chúng phù hợp về mặt cập nhật bảo mật.

Vì vậy, cho rằng phiên bản chính hiện tại là 103, bạn có thể nhanh chóng nói hơn 102.1 ESR (102 + 1 = 103) và 91.12 ESR (91 + 12 = 103) là những bản phát hành gần đây nhất trong dòng họ tương ứng.