Firefox 111 retter 11 huller, men ikke 1 nul-dag blandt dem...

Hørt om cricket (sporten, ikke insektet)?

Det er meget ligesom baseball, bortset fra at battere kan slå bolden hvor som helst de vil, inklusive baglæns eller sidelæns; bowlere kan slå dejen med bolden med vilje (inden for visse sikkerhedsgrænser, selvfølgelig – det ville bare ikke være cricket ellers) uden at starte et 20-minutters all-in slagsmål; der er næsten altid en pause midt på eftermiddagen til te og kage; og du kan score seks løb ad gangen, så længe du slår bolden højt og langt nok (syv hvis bowleren også laver en fejl).

Som cricket-entusiaster ved, er 111 løb en overtroisk score, der anses for uheldig af mange – cricketspillerens ækvivalent til Macbeth til en skuespiller.

Det er kendt som en Nelson, selvom ingen faktisk ved hvorfor.

I dag ser vi derfor Firefox's Nelson-udgivelse med version 111.0, men der ser ikke ud til at være noget uheldigt ved denne.

Elleve individuelle patches og to batches-of-patches

Som sædvanlig er der adskillige sikkerhedsrettelser i opdateringen, inklusive Mozillas sædvanlige combo-CVE sårbarhedsnumre for potentielt udnyttelige fejl, der blev fundet automatisk og rettet uden at vente på at se, om en proof-of-concept (PoC) udnyttelse var mulig:

• CVE-2023-28176: Hukommelsessikkerhedsfejl rettet i Firefox 111 og Firefox ESR 102.9. Disse fejl blev delt mellem den nuværende version (som inkluderer nye funktioner) og ESR-versionen, en forkortelse for udvidet supportfrigivelse (sikkerhedsrettelser anvendt, men med nye funktioner frosset siden version 102, for ni udgivelser siden).
• CVE-2023-28177: Hukommelsessikkerhedsfejl rettet kun i Firefox 111. Disse fejl eksisterer næsten helt sikkert kun i ny kode, der bragte nye funktioner ind, da de ikke dukkede op i den ældre ESR-kodebase.

Disse bags-of-bugs er blevet bedømt Høj snarere end Kritisk.

Mozilla indrømmer, at "vi formoder, at nogle af disse med tilstrækkelig indsats kunne være blevet udnyttet til at køre vilkårlig kode", men ingen har endnu fundet ud af, hvordan man gør det, eller endda om sådanne udnyttelser er mulige.

Ingen af ​​de andre elleve CVE-nummererede fejl denne måned var værre end Høj; tre af dem gælder kun for Firefox til Android; og ingen har endnu (så vidt vi ved endnu) fundet på en PoC-udnyttelse, der viser, hvordan man misbruger dem i det virkelige liv.

To særligt interessante sårbarheder optræder blandt de 11, nemlig:

• CVE-2023-28161: Engangstilladelser givet til en lokal fil blev udvidet til andre lokale filer indlæst på samme fane. Med denne fejl, hvis du åbnede en lokal fil (såsom downloadet HTML-indhold), der ønskede adgang, f.eks. til dit webcam, så ville enhver anden lokal fil, du åbnede bagefter, på magisk vis arve den adgangstilladelse uden at spørge dig. Som Mozilla bemærkede, kunne dette føre til problemer, hvis du kiggede gennem en samling af elementer i din download-mappe - advarslerne om adgangstilladelser, du ville se, ville afhænge af den rækkefølge, du åbnede filerne i.
• CVE-2023-28163: Windows Gem som dialog løste miljøvariabler. Dette er endnu en skarp påmindelse om rense dine inputs, som vi gerne vil sige. I Windows-kommandoer behandles nogle tegnsekvenser specielt, som f.eks %USERNAME%, som bliver konverteret til navnet på den aktuelt loggede bruger, eller %PUBLIC%, som angiver en delt mappe, normalt i C:Users. En lusket hjemmeside kunne bruge dette som en måde at narre dig til at se og godkende download af et filnavn, der ser harmløst ud, men som lander i en mappe, du ikke ville forvente (og hvor du måske ikke senere indser, at det var endt).

Hvad skal jeg gøre?

De fleste Firefox-brugere vil få opdateringen automatisk, typisk efter en tilfældig forsinkelse for at stoppe alles computer med at downloade på samme tidspunkt...

…men du kan undgå ventetiden ved manuelt at bruge Hjælp > Om (eller Firefox > Om Firefox på en Mac) på en bærbar computer eller ved at tvinge en App Store- eller Google Play-opdatering på en mobilenhed.

(Hvis du er Linux-bruger, og Firefox er leveret af producenten af ​​din distro, skal du foretage en systemopdatering for at tjekke, om den nye version er tilgængelig.)

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/