ফায়ারফক্স 111 11টি ছিদ্র প্যাচ করে, কিন্তু তাদের মধ্যে 1টি শূন্য-দিন নয়…

ক্রিকেটের কথা শুনেছেন (খেলাধুলা, পোকা নয়)?

এটা অনেকটা বেসবলের মত, ব্যাটাররা যেখানে খুশি বল মারতে পারে, পেছনের দিকে বা পাশের দিক সহ; বোলাররা 20 মিনিটের অল-ইন ঝগড়া ছাড়াই উদ্দেশ্যমূলকভাবে বল দিয়ে ব্যাটারকে আঘাত করতে পারে (অবশ্যই নির্দিষ্ট নিরাপত্তা সীমার মধ্যে - এটি অন্যথায় ক্রিকেট হবে না); চা এবং কেকের জন্য বিকেলের মাঝখানে প্রায় সবসময় বিরতি থাকে; এবং আপনি একটি সময়ে ছয় রান করতে পারেন যতক্ষণ না আপনি বলটি উচ্চ এবং যথেষ্ট দূরত্বে আঘাত করেন (সাত যদি বোলারও ভুল করে)।

Well, as cricket enthusiasts know, 111 runs is a superstitious score, considered unauspicious by many – the cricketer’s equivalent of ম্যাকবেথ একজন অভিনেতার কাছে।

এটি একটি হিসাবে পরিচিত নেলসন, যদিও কেউ আসলে কেন জানে না।

Today therefore sees Firefox’s Nelson release, with version 111.0 coming out, but there doesn’t seem to be anything unauspicious about this one.

এগারোটি স্বতন্ত্র প্যাচ, এবং দুটি ব্যাচ-অফ-প্যাচ

যথারীতি, আপডেটে অসংখ্য নিরাপত্তা প্যাচ রয়েছে, যার মধ্যে রয়েছে সম্ভাব্য শোষণযোগ্য বাগগুলির জন্য Mozilla-এর সাধারণ কম্বো-CVE দুর্বলতা নম্বর যা স্বয়ংক্রিয়ভাবে পাওয়া গেছে এবং একটি প্রুফ-অফ-কনসেপ্ট (PoC) শোষণ সম্ভব কিনা তা দেখার অপেক্ষা না করেই প্যাচ করা হয়েছে:

• সিভিই -2023-28176: Firefox 111 এবং Firefox ESR 102.9-এ মেমরি নিরাপত্তা বাগ সংশোধন করা হয়েছে। এই বাগগুলি বর্তমান সংস্করণ (যার মধ্যে নতুন বৈশিষ্ট্য রয়েছে) এবং ESR সংস্করণের মধ্যে ভাগ করা হয়েছে, সংক্ষিপ্ত বর্ধিত সমর্থন মুক্তি (নিরাপত্তা সংশোধনগুলি প্রয়োগ করা হয়েছে, কিন্তু নতুন বৈশিষ্ট্য সহ সংস্করণ 102 থেকে হিমায়িত করা হয়েছে, নয়টি প্রকাশের আগে)।
• সিভিই -2023-28177: শুধুমাত্র Firefox 111-এ মেমরি নিরাপত্তা বাগ সংশোধন করা হয়েছে। এই বাগগুলি প্রায় নিশ্চিতভাবে শুধুমাত্র নতুন কোডে বিদ্যমান যা নতুন বৈশিষ্ট্যগুলি নিয়ে এসেছে, প্রদত্ত যে তারা পুরানো ESR কোডবেসে প্রদর্শিত হয়নি।

এই ব্যাগ-অফ-বাগ রেট করা হয়েছে উচ্চ বরং সংকটপূর্ণ.

Mozilla স্বীকার করে যে "আমরা অনুমান করি যে যথেষ্ট প্রচেষ্টার সাথে এর মধ্যে কিছুকে স্বেচ্ছাচারী কোড চালানোর জন্য কাজে লাগানো যেতে পারে", কিন্তু কেউ এখনও এটি কীভাবে করা যায় তা বের করেনি, এমনকি যদি এই ধরনের শোষণগুলি সম্ভব হয়।

এই মাসে অন্য এগারোটি সিভিই-সংখ্যাযুক্ত বাগগুলির মধ্যে কোনটিই খারাপ ছিল না উচ্চ; তাদের মধ্যে তিনটি শুধুমাত্র Android এর জন্য Firefox-এ প্রযোজ্য; এবং কেউ এখনও (এখন পর্যন্ত আমরা জানি) এমন একটি PoC শোষণ নিয়ে আসেনি যা দেখায় কিভাবে বাস্তব জীবনে তাদের অপব্যবহার করা যায়।

11 টির মধ্যে দুটি উল্লেখযোগ্যভাবে আকর্ষণীয় দুর্বলতা দেখা যায়, যথা:

• সিভিই -2023-28161: একটি স্থানীয় ফাইলের এককালীন অনুমতিগুলি একই ট্যাবে লোড করা অন্যান্য স্থানীয় ফাইলগুলিতে প্রসারিত হয়েছিল৷ এই বাগ দিয়ে, আপনি যদি একটি স্থানীয় ফাইল (যেমন ডাউনলোড করা HTML বিষয়বস্তু) খোলেন যা আপনার ওয়েবক্যামে অ্যাক্সেস চায়, বলুন, তারপরে আপনি পরে খোলা অন্য কোনো স্থানীয় ফাইল আপনাকে জিজ্ঞাসা না করেই যাদুকরীভাবে সেই অ্যাক্সেসের অনুমতি পাবে। মোজিলা যেমন উল্লেখ করেছে, আপনি যদি আপনার ডাউনলোড ডিরেক্টরিতে আইটেমগুলির একটি সংগ্রহের দিকে তাকিয়ে থাকেন তবে এটি সমস্যার কারণ হতে পারে - আপনি যে ক্রমানুসারে ফাইলগুলি খুলেছেন তার উপর নির্ভর করবে অ্যাক্সেসের অনুমতির সতর্কতাগুলি।
• সিভিই -2023-28163: উইন্ডোজ সেভ অ্যাজ ডায়ালগ এনভায়রনমেন্ট ভেরিয়েবলের সমাধান করেছে। এটি আরেকটি প্রখর অনুস্মারক আপনার ইনপুট স্যানিটাইজ করুন, আমরা বলতে চাই. উইন্ডোজ কমান্ডে, কিছু অক্ষর ক্রম বিশেষভাবে বিবেচনা করা হয়, যেমন %USERNAME%, যা বর্তমানে লগ-অন থাকা ব্যবহারকারীর নামে রূপান্তরিত হয়, বা %PUBLIC%, যা একটি ভাগ করা ডিরেক্টরি বোঝায়, সাধারণত এর মধ্যে C:Users. একটি লুকোচুরি ওয়েবসাইট এটিকে এমন একটি ফাইলের নাম দেখতে এবং অনুমোদন করার জন্য আপনাকে প্রতারণা করার উপায় হিসাবে ব্যবহার করতে পারে যা দেখতে ক্ষতিকারক নয় কিন্তু এমন একটি ডিরেক্টরিতে ল্যান্ড করে যা আপনি আশা করেন না (এবং যেখানে আপনি পরে বুঝতে পারবেন না যে এটি শেষ হয়ে গেছে)।

কি করো?

বেশিরভাগ ফায়ারফক্স ব্যবহারকারীরা স্বয়ংক্রিয়ভাবে আপডেটটি পেয়ে যাবেন, সাধারণত একই মুহুর্তে প্রত্যেকের কম্পিউটার ডাউনলোড করা বন্ধ করতে একটি এলোমেলো বিলম্বের পরে...

…কিন্তু আপনি ম্যানুয়ালি ব্যবহার করে অপেক্ষা এড়াতে পারেন সাহায্য > সম্পর্কে (অথবা ফায়ারফক্স > ফায়ারফক্স সম্পর্কে একটি Mac এ) একটি ল্যাপটপে, বা একটি মোবাইল ডিভাইসে একটি অ্যাপ স্টোর বা Google Play আপডেট জোর করে।

(আপনি যদি লিনাক্স ব্যবহারকারী হন এবং ফায়ারফক্স আপনার ডিস্ট্রো তৈরির দ্বারা সরবরাহ করা হয়, নতুন সংস্করণের উপলব্ধতা পরীক্ষা করার জন্য একটি সিস্টেম আপডেট করুন।)

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• উত্স: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/