Firefox 111 patcht 11 Lücken, aber nicht 1 Zero-Day darunter…

Schon mal von Cricket gehört (der Sport, nicht das Insekt)?

Es ist ähnlich wie Baseball, außer dass Batter den Ball schlagen können, wo immer sie wollen, auch rückwärts oder seitwärts; Bowler können den Batter absichtlich mit dem Ball schlagen (natürlich innerhalb bestimmter Sicherheitsgrenzen – sonst wäre es einfach kein Cricket), ohne eine 20-minütige All-in-Brawl zu starten; Nachmittags gibt es fast immer eine Pause für Tee und Kuchen; und Sie können sechs Läufe gleichzeitig erzielen, solange Sie den Ball hoch und weit genug schlagen (sieben, wenn der Bowler auch einen Fehler macht).

Nun, wie Cricket-Enthusiasten wissen, sind 111 Runs ein abergläubischer Wert, der von vielen als ungünstig angesehen wird – das Äquivalent des Cricketspielers Macbeth zu einem Schauspieler.

Es ist als bekannt Nelson, obwohl niemand wirklich zu wissen scheint, warum.

Deshalb erscheint heute die Nelson-Version von Firefox mit der Version 111.0, an dieser scheint aber nichts Ungewöhnliches zu sein.

Elf einzelne Patches und zwei Chargen von Patches

Wie üblich enthält das Update zahlreiche Sicherheitspatches, einschließlich der üblichen Combo-CVE-Schwachstellennummern von Mozilla für potenziell ausnutzbare Fehler, die automatisch gefunden und gepatcht wurden, ohne abzuwarten, ob ein Proof-of-Concept (PoC)-Exploit möglich war:

• CVE-2023-28176: Speichersicherheitsfehler in Firefox 111 und Firefox ESR 102.9 behoben. Diese Fehler wurden zwischen der aktuellen Version (die neue Funktionen enthält) und der ESR-Version, kurz für erweiterter Support-Release (Sicherheitskorrekturen angewendet, aber mit neuen Funktionen, die seit Version 102 vor neun Veröffentlichungen eingefroren sind).
• CVE-2023-28177: Speichersicherheitsfehler nur in Firefox 111 behoben. Diese Fehler existieren mit ziemlicher Sicherheit nur in neuem Code, der neue Funktionen brachte, da sie in der älteren ESR-Codebasis nicht auftauchten.

Diese Tüten voller Käfer wurden bewertet High statt Kritisch.

Mozilla gibt zu, dass „wir davon ausgehen, dass einige davon mit genügend Aufwand hätten ausgenutzt werden können, um beliebigen Code auszuführen“, aber noch hat niemand herausgefunden, wie dies zu tun ist oder ob solche Exploits möglich sind.

Keiner der anderen elf CVE-nummerierten Bugs in diesem Monat war schlimmer High; drei davon gelten nur für Firefox für Android; und niemand hat sich (soweit wir noch wissen) einen PoC-Exploit ausgedacht, der zeigt, wie man sie im wirklichen Leben missbraucht.

Unter den 11 tauchen zwei besonders interessante Sicherheitslücken auf, nämlich:

• CVE-2023-28161: Einmalige Berechtigungen, die einer lokalen Datei gewährt wurden, wurden auf andere lokale Dateien ausgedehnt, die auf derselben Registerkarte geladen wurden. Wenn Sie mit diesem Fehler eine lokale Datei (z. B. heruntergeladene HTML-Inhalte) geöffnet haben, die beispielsweise Zugriff auf Ihre Webcam haben wollte, erbte jede andere lokale Datei, die Sie anschließend öffneten, diese Zugriffsberechtigung auf magische Weise, ohne Sie zu fragen. Wie Mozilla feststellte, könnte dies zu Problemen führen, wenn Sie eine Sammlung von Elementen in Ihrem Download-Verzeichnis durchsuchen – die angezeigten Zugriffsberechtigungswarnungen hängen von der Reihenfolge ab, in der Sie die Dateien geöffnet haben.
• CVE-2023-28163: Windows-Dialogfeld „Speichern unter“ löste Umgebungsvariablen auf. Dies ist eine weitere scharfe Erinnerung an Reinige deine Eingaben, wie wir gerne sagen. In Windows-Befehlen werden einige Zeichenfolgen speziell behandelt, wie z %USERNAME%, die in den Namen des aktuell angemeldeten Benutzers umgewandelt wird, oder %PUBLIC%, was ein freigegebenes Verzeichnis bezeichnet, normalerweise in C:Users. Eine hinterhältige Website könnte dies dazu nutzen, Sie dazu zu bringen, den Download eines Dateinamens zu sehen und zu genehmigen, der harmlos aussieht, aber in einem Verzeichnis landet, das Sie nicht erwarten würden (und wo Sie später vielleicht nicht merken, dass er gelandet ist).

Was ist zu tun?

Die meisten Firefox-Benutzer erhalten das Update automatisch, normalerweise nach einer zufälligen Verzögerung, um zu verhindern, dass alle Computer im selben Moment heruntergeladen werden …

…aber Sie können das Warten vermeiden, indem Sie manuell verwenden Hilfe > Über uns (oder Firefox > Über Firefox auf einem Mac) auf einem Laptop oder durch Erzwingen eines App Store- oder Google Play-Updates auf einem mobilen Gerät.

(Wenn Sie ein Linux-Benutzer sind und Firefox vom Hersteller Ihrer Distribution bereitgestellt wird, führen Sie ein Systemupdate durch, um die Verfügbarkeit der neuen Version zu überprüfen.)

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/