来自 Firefox 的温和每月安全更新——但无论如何都要更新

是时候进行本月预定的 Firefox 更新了（从技术上讲，两次更新之间的间隔为 28 天，有时您会在一个日历月内获得两次更新，但 2022 年 XNUMX 月不是其中之一）……

……好消息是 列出的最严重的错误, 其风险类别为 高，是 Mozilla 自己使用自动错误搜索工具发现的，并归为两个 CVE 编号：

• CVE-2022-36320： 内存安全 错误修复 在 Firefox 103 中。
• CVE-2022-2505： 内存安全 错误修复 在 Firefox 103 和 102.1 中。

将这些错误分为两组的原因是 Mozilla 官方支持其浏览器的两种风格。

有最新最好的版本，目前是 103，它具有所有最新功能和相关的安全修复程序。

还有扩展支持版本 (ESR) 风格，它每隔几个月就会与最新版本中的功能同步，但在此期间只获取安全更新，因此只有在新功能可以在主流版本有一段时间了。

可以想象，在工作中支持 Firefox 的系统管理员和 IT 团队通常喜欢 ESR，因为这意味着他们不必将新功能强加给自己的用户（或接听有关新菜单选项、不同图标和修改行为的不可避免的支持电话） ) 没有好的警告。

在主流 Firefox 版本中几乎总是至少修复了一些没有出现在 ESR 中的错​​误，因此无法在那里修复，因为这些错误是新的，在添加的新代码中引入以支持新功能.

这是一些系统管理员喜欢 ESR 风格软件的另一个原因，因为这些版本中的代码已经普遍暴露在现实生活中的审查时间更长，而没有落后于安全补丁。

事实上，Mozilla 保留了两个 ESR 版本，因此您可以在进行切换之前同时尝试以前和当前的 ESR 版本，从而完全不需要使用我们的生产网络的尖端版本。 （有关当前支持的所有版本的最新版本号，请参见下文。）

误导您的点击

在补丁列表中的其他六个错误中，我们认为有两个很有趣且很重要，因为它们都使攻击者有机会诱骗您单击看起来不正确的内容：

• CVE-2022-36319： 使用 CSS 转换的鼠标位置欺骗。 简单地说，这个错误意味着一个诱杀的网站可以让你的鼠标指针定位 在错误的地方 在浏览器窗口中，以便单击鼠标不会在您期望的位置注册。 这个技巧通常被称为 点击劫持，骗子让您认为您点击的是安全的地方，而实际上您点击的是一个链接或按钮，如果您知道的话，您会故意避开。 以最简单的形式，点击劫持可以制造虚假的社交媒体喜欢或不受欢迎的广告印象。 在最坏的情况下，即使您正在寻找它们，它也可能导致您直接受到网络钓鱼攻击或不明显的虚假下载的伤害。
• CVE-2022-36314： 打开本地 .lnk 文件可能导致 意外的网络负载. LNK 文件是 Windows 快捷方式, 这是一个整体 安全蠕虫罐头 在他们自己的权利。 （一个 .LNK file 可以偷偷地将您重定向到 X 类型的文件，例如 .EXE, 同时以 Y 类型的图标呈现自己，例如 .PDF.) 在这种情况下，一个指定本地 .LNK 文件，如果单击，可以将您重定向到存储在网络上某处的文件。 尽管没有建议以这种方式获取的数据可用于远程代码执行（换句话说，进行未经授权的更改，包括植入恶意软件），但您很容易被误认为是本地数据而信任远程内容. 任何网络请求泄漏 一些 向另一端运行服务器的人提供信息，因此您的浏览器务必让您准确了解单击的每个链接会将您带到哪里。

了解有关快捷方式和恶意软件的更多信息

怎么办呢？

像往常一样，前往 政策和帮助 > 关于Firefox 看看弹出框是否告诉你 Firefox is up to date 或为您提供一个标记为可点击的按钮 [Update to X].

这一次，你追求的版本是 103.0 （如果您使用 主流版), 血沉102.1 （如果你在 最新的 ESR 版本）， 要么 血沉91.12 （如果你在 最古老的 ESR 风味).

正如我们之前解释过的，但认为值得再次提及的是，ESR 版本标识符中的两个数字加在一起表示它们在安全更新方面匹配的主流版本。

所以，鉴于目前的主流版本是 103, 你可以很快看出 102.1 个 ESR (102+1 = 103) 和 91.12 个 ESR (91+12 = 103) 是各自谱系中的最新版本。