فايرفوكس 111 يصحح 11 ثقبًا ، لكن ليس يومًا واحدًا بينهم ...

هل سمعت عن لعبة الكريكيت (الرياضة وليست الحشرة)؟

يشبه إلى حد كبير لعبة البيسبول ، باستثناء أن الضاربين يمكنهم ضرب الكرة أينما يحلو لهم ، بما في ذلك للخلف أو الجانب ؛ يمكن للاعبي البولينج ضرب الكرة بالكرة عن قصد (ضمن حدود أمان معينة ، بالطبع - لن تكون لعبة الكريكيت بخلاف ذلك) دون بدء شجار شامل لمدة 20 دقيقة ؛ هناك دائمًا استراحة في منتصف فترة ما بعد الظهر لتناول الشاي والكعك ؛ ويمكنك تسجيل ستة أشواط في كل مرة طالما ضربت الكرة عالياً وبعيدًا بدرجة كافية (سبعة إذا ارتكب الرامي خطأً أيضًا).

حسنًا، كما يعلم عشاق لعبة الكريكيت، فإن 111 نقطة هي نتيجة خرافية، ويعتبرها الكثيرون مشؤومة - وهي ما يعادل لاعب الكريكيت ماكبث إلى ممثل.

يُعرف باسم a نيلسون، على الرغم من أن لا أحد يعرف السبب في الواقع.

لذلك، نشهد اليوم إصدار Firefox’s Nelson، مع إصدار الإصدار 111.0، ولكن لا يبدو أن هناك أي شيء مريب بشأن هذا الإصدار.

أحد عشر رقعة فردية ودُفعتان من الرقع

كالعادة ، هناك العديد من تصحيحات الأمان في التحديث ، بما في ذلك أرقام الثغرات الأمنية المعتادة في Mozilla للأخطاء التي يمكن استغلالها والتي تم العثور عليها تلقائيًا وتصحيحها دون انتظار لمعرفة ما إذا كان استغلال إثبات المفهوم (PoC) ممكنًا:

• CVE-2023-28176: تم إصلاح أخطاء أمان الذاكرة في Firefox 111 و Firefox ESR 102.9. تمت مشاركة هذه الأخطاء بين الإصدار الحالي (الذي يتضمن ميزات جديدة) وإصدار ESR ، باختصار إصدار دعم ممتد (تم تطبيق إصلاحات الأمان ، ولكن مع تجميد الميزات الجديدة منذ الإصدار 102 ، قبل تسعة إصدارات).
• CVE-2023-28177: تم إصلاح أخطاء أمان الذاكرة في Firefox 111 فقط. من شبه المؤكد أن هذه الأخطاء موجودة فقط في التعليمات البرمجية الجديدة التي جلبت ميزات جديدة ، نظرًا لأنها لم تظهر في قاعدة رموز ESR القديمة.

تم تصنيف هذه الأكياس من البق مرتفع بدلا من حرج.

تعترف Mozilla بأنه "نفترض أنه بجهد كافٍ كان يمكن استغلال بعض هذه البرامج لتشغيل تعليمات برمجية عشوائية" ، ولكن لم يكتشف أحد بعد كيفية القيام بذلك ، أو حتى إذا كانت مثل هذه الثغرات ممكنة.

لم تكن أي من الأخطاء الإحدى عشرة الأخرى المرقمة بمقياس CVE هذا الشهر أسوأ من ذلك مرتفع؛ ثلاثة منها تنطبق على Firefox لنظام Android فقط ؛ ولم يبتكر أحد حتى الآن (حتى الآن على حد علمنا) ثغرة PoC التي توضح كيفية الإساءة إليهم في الحياة الواقعية.

تظهر ثغرتان مهمتان بشكل ملحوظ من بين الـ 11 نقطة ، وهما:

• CVE-2023-28161: تم تمديد أذونات المرة الواحدة الممنوحة لملف محلي لتشمل الملفات المحلية الأخرى التي تم تحميلها في علامة التبويب نفسها. باستخدام هذا الخطأ ، إذا فتحت ملفًا محليًا (مثل محتوى HTML الذي تم تنزيله) ويريد الوصول ، على سبيل المثال ، إلى كاميرا الويب الخاصة بك ، فإن أي ملف محلي آخر فتحته بعد ذلك سيرث إذن الوصول هذا بطريقة سحرية دون أن يطلب منك ذلك. كما لاحظت Mozilla ، قد يؤدي ذلك إلى حدوث مشكلة إذا كنت تبحث في مجموعة من العناصر في دليل التنزيل الخاص بك - ستعتمد تحذيرات إذن الوصول التي تراها على الترتيب الذي فتحت به الملفات.
• CVE-2023-28163: حل Windows Save As مربع حوار متغيرات البيئة. هذا تذكير قوي آخر ل تعقيم مدخلاتك، كما نحب أن نقول. في أوامر Windows ، يتم التعامل مع بعض تسلسلات الأحرف بشكل خاص ، مثل %USERNAME%، والتي يتم تحويلها إلى اسم المستخدم الذي قام بتسجيل الدخول حاليًا ، أو %PUBLIC%، والتي تشير إلى الدليل المشترك ، وعادةً ما يكون بتنسيق C:Users. يمكن أن يستخدم موقع الويب المخادع هذا كطريقة لخداعك لرؤية والموافقة على تنزيل اسم ملف يبدو غير ضار ولكنه يقع في دليل لا تتوقعه (وحيث قد لا تدرك لاحقًا أنه انتهى).

ماذا ستفعلين.. إذًا؟

سيحصل معظم مستخدمي Firefox على التحديث تلقائيًا ، عادةً بعد تأخير عشوائي لإيقاف تنزيل جهاز الكمبيوتر للجميع في نفس اللحظة ...

... ولكن يمكنك تجنب الانتظار باستخدام يدويًا المساعدة > من نحن (أو برنامج فايرفوكس > حول فايرفوكس على جهاز Mac) على جهاز كمبيوتر محمول ، أو عن طريق فرض تحديث App Store أو Google Play على جهاز محمول.

(إذا كنت من مستخدمي Linux وتم توفير Firefox من قبل الشركة المصنعة للتوزيعة الخاصة بك ، فقم بتحديث النظام للتحقق من توفر الإصدار الجديد.)

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
• المصدر https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/