Firefox 111 parandab 11 auku, kuid mitte 1 nullpäeva nende hulgas...

Kas olete kuulnud kriketist (sport, mitte putukas)?

See sarnaneb pesapalliga, välja arvatud see, et lööjad võivad palli lüüa kõikjal, kus neile meeldib, sealhulgas tahapoole või külili; pallurid saavad lööki palliga meelega lüüa (muidugi teatud ohutuspiirides – muidu ei oleks kriket) ilma 20-minutilist all-in kaklust käima lükkamata; peaaegu alati on keset pärastlõunat paus tee ja koogi jaoks; ja võid sooritada kuus jooksu korraga, kui lööd palli piisavalt kõrgele ja kaugele (seitse juhul, kui pallur samuti veab).

Well, as cricket enthusiasts know, 111 runs is a superstitious score, considered unauspicious by many – the cricketer’s equivalent of Macbeth näitlejale.

Seda tuntakse kui a Nelson, kuigi keegi ei näi tegelikult teadvat, miks.

Today therefore sees Firefox’s Nelson release, with version 111.0 coming out, but there doesn’t seem to be anything unauspicious about this one.

Üksteist üksikut plaastrit ja kaks plaastrite partiid

Nagu tavaliselt, on värskenduses palju turvapaiku, sealhulgas Mozilla tavalised kombineeritud CVE haavatavuse numbrid potentsiaalselt kasutatavate vigade jaoks, mis leiti automaatselt ja parandati, ootamata, kas kontseptsiooni tõend (PoC) on võimalik:

• CVE-2023-28176: Mälu turvavead on parandatud versioonides Firefox 111 ja Firefox ESR 102.9. Neid vigu jagati praeguse versiooni (mis sisaldab uusi funktsioone) ja ESR-i versiooni vahel pikendatud toe vabastamine (Turvaparandused on rakendatud, kuid uued funktsioonid on külmutatud alates versioonist 102, üheksa väljalaset tagasi).
• CVE-2023-28177: Mälu turvavead on parandatud ainult Firefox 111-s. Need vead esinevad peaaegu kindlasti ainult uues koodis, mis tõi kaasa uusi funktsioone, arvestades, et vanemas ESR-i koodibaasis neid ei ilmunud.

Need kotid putukatest on hinnatud Suur mitte Kriitiline.

Mozilla möönab, et "oletame, et piisava jõupingutusega oleks saanud mõnda neist ära kasutada suvalise koodi käivitamiseks", kuid keegi pole veel aru saanud, kuidas seda teha või isegi kui sellised ärakasutused on teostatavad.

Ükski ülejäänud üheteistkümnest CVE-numbriga veast sel kuul polnud halvem Suur; kolm neist kehtivad ainult Firefoxi jaoks Androidile; ja keegi pole veel (nii palju kui me veel teame) välja mõelnud PoC ärakasutamise, mis näitaks, kuidas neid päriselus kuritarvitada.

Nende 11 hulgas ilmneb kaks eriti huvitavat haavatavust, nimelt:

• CVE-2023-28161: Kohalikule failile antud ühekordseid õigusi laiendati teistele samale vahelehele laaditud kohalikele failidele. Selle vea korral, kui avate kohaliku faili (nt allalaaditud HTML-sisu), mis soovis juurdepääsu näiteks teie veebikaamerale, pärib mis tahes muu kohalik fail, mille pärast avasite, võluväel selle juurdepääsuloa ilma teilt küsimata. Nagu Mozilla märkis, võib see põhjustada probleeme, kui vaatate allalaadimiskataloogis olevate üksuste kogumit – juurdepääsulubade hoiatused, mida näete, sõltuvad failide avamise järjekorrast.
• CVE-2023-28163: Windowsi salvestamise nimega dialoog lahendas keskkonnamuutujad. See on veel üks terav meeldetuletus desinfitseerige oma sisendid, nagu meile meeldib öelda. Windowsi käskudes käsitletakse mõnda märgijada spetsiaalselt, nt %USERNAME%, mis teisendatakse hetkel sisse logitud kasutaja nimeks või %PUBLIC%, mis tähistab tavaliselt jagatud kataloogi C:Users. Salakaval veebisait võib seda kasutada selleks, et meelitada teid nägema ja heaks kiitma failinime, mis näeb välja kahjutu, kuid satub kataloogi, mida te ei oskaks oodata (ja kuhu te ei pruugi hiljem arugi saada, et see on sattunud).

Mida teha?

Enamik Firefoxi kasutajaid saavad värskenduse automaatselt, tavaliselt pärast juhuslikku viivitust, et peatada kõigi arvutite allalaadimine samal hetkel…

…aga saate ootamist vältida käsitsi kasutades aitama > MEIST (Või Firefox > Firefoxist Macis) sülearvutis või sundides App Store'i või Google Play värskendust mobiilseadmes.

(Kui olete Linuxi kasutaja ja Firefoxi tarnib teie distro tootja, tehke süsteemivärskendus, et kontrollida uue versiooni saadavust.)

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/