فایرفاکس 111 11 حفره را وصله می کند، اما نه یک روز صفر در میان آنها…

بازنشر افلاطون

دنبال: 0

درباره کریکت (ورزش، نه حشره) شنیده اید؟

این بسیار شبیه بیسبال است، با این تفاوت که ضربه‌زنان می‌توانند به هر کجا که دوست دارند، از جمله به عقب یا به پهلو، توپ را بزنند. بولرها می توانند عمداً با توپ ضربه ای بزنند (البته با محدودیت های ایمنی خاص - در غیر این صورت کریکت نمی توانست باشد) بدون شروع یک نزاع همه جانبه 20 دقیقه ای. تقریباً همیشه در اواسط بعد از ظهر یک استراحت برای چای و کیک وجود دارد. و شما می توانید شش ران در یک زمان به دست بیاورید به شرطی که توپ را بلند و به اندازه کافی دور بزنید (هفت اگر توپ گیر نیز اشتباه کند).

خوب، همانطور که علاقه مندان به کریکت می دانند، 111 دوش امتیازی خرافی است که بسیاری آن را نامطلوب می دانند - معادل کریکت مکبث به یک بازیگر

به عنوان یک شناخته می شود نلسون، اگرچه به نظر می رسد هیچ کس واقعاً دلیل آن را نمی داند.

بنابراین امروز شاهد انتشار نلسون فایرفاکس با نسخه 111.0 هستیم، اما به نظر می رسد هیچ چیز بدی در مورد این نسخه وجود نداشته باشد.

.s-button+.s-button { margin-left: 3125rem; } .s-button { transition: all .15s linear; اندازه فونت: .875rem; ارتفاع خط: 1.5; رنگ: #f2f2f2; font-family: SophosSansMedium، Helvetica Neue، Helvetica، Arial، sans-serif. فونت-وزن: 400; سبک فونت: عادی. صفحه نمایش: inline-block; padding: 3125rem 1.25rem; مکان نما: اشاره گر text-align: center; text-decoration: هیچ; حاشیه: 1px جامد #005bc8; حاشیه-شعاع: 3px; پس زمینه رنگ: #005bc8; text-shadow: هیچ; } .s-button:hover { text-decoration: none; رنگ: #fff; حاشیه-رنگ: #002d62; پس زمینه رنگ: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; حاشیه-رنگ: #fff; background-color: #fff; } .s-ad-sophos-mdr { font-size: 1rem; ارتفاع خط: 1.5; رنگ: #242629; font-family: SophosSansRegular، Helvetica Neue، Helvetica، Arial، sans-serif. فونت-وزن: 400; سبک فونت: عادی. موقعیت: نسبی; حداکثر عرض: 769 پیکسل؛ حاشیه: 15 پیکسل خودکار؛ بالشتک: 30px 30px 25px; transition: box-shadow 25s cubic-bezier( 645, 045, 355, 1); text-align: center; پس زمینه رنگ: #0d141d; background-repeat: no-repeat; پس زمینه موقعیت: 50%; پس زمینه اندازه: پوشش; box-shadow: 0 0 0 0 0 transparent; پس زمینه رنگ: #005bc8; پس زمینه-تصویر: هیچ; پس زمینه موقعیت: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; ارتفاع خط: 1.125; margin-bottom: 4px; رنگ: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; فونت-وزن: 400; سبک فونت: عادی. اندازه فونت: 17px; رنگ: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { position: absolute; بالا: 15 پیکسل; سمت راست: 15 پیکسل؛ } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; عرض: 64 پیکسل؛ ارتفاع: 11px; vertical-align: top; background-repeat: no-repeat; اندازه پس زمینه: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; فونت-وزن: 400; سبک فونت: عادی. اندازه فونت: 28px; فونت-وزن: 700; ارتفاع خط: 1; margin-bottom: 10px; text-align: left; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; ارتفاع خط: 1.25; text-align: left; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { position: absolute; سمت راست: 30 پیکسل؛ پایین: 30 پیکسل؛ } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

یازده تکه تکی، و دو دسته تکه

طبق معمول، وصله‌های امنیتی متعددی در به‌روزرسانی وجود دارد، از جمله اعداد آسیب‌پذیری معمولی ترکیبی-CVE موزیلا برای باگ‌های بالقوه قابل بهره‌برداری که به‌طور خودکار پیدا شده و بدون منتظر ماندن برای مشاهده اینکه آیا سوءاستفاده اثبات مفهوم (PoC) امکان‌پذیر است یا نه، وصله شده‌اند.

CVE-2023-28176: اشکالات ایمنی حافظه در فایرفاکس 111 و فایرفاکس ESR 102.9 رفع شد. این باگ ها بین نسخه فعلی (که شامل ویژگی های جدید است) و نسخه ESR به اشتراک گذاشته شده است انتشار پشتیبانی گسترده (اصلاحات امنیتی اعمال شد، اما با ویژگی های جدید منجمد شده از نسخه 102، نه نسخه پیش).
CVE-2023-28177: اشکالات ایمنی حافظه فقط در فایرفاکس 111 رفع شد. این اشکالات تقریباً مطمئناً فقط در کدهای جدیدی وجود دارند که ویژگی‌های جدیدی را به همراه دارند، با توجه به اینکه در پایگاه کدهای ESR قدیمی نشان داده نمی‌شوند.

این کیسه های اشکال رتبه بندی شده اند زیاد به جای بحرانی.

موزیلا اعتراف می‌کند که «فرض می‌کنیم که با تلاش کافی، برخی از این کدها می‌توانستند برای اجرای کد دلخواه مورد سوء استفاده قرار گیرند»، اما هیچ‌کس هنوز متوجه نشده است که چگونه این کار را انجام دهد، یا حتی اگر چنین اکسپلویت‌هایی امکان‌پذیر باشد.

هیچ یک از یازده باگ دیگر با شماره CVE در این ماه بدتر از آن نبودند زیاد; سه مورد از آنها فقط برای فایرفاکس برای اندروید اعمال می شود. و هیچ کس هنوز (تا جایی که ما هنوز می دانیم) یک اکسپلویت PoC ارائه نکرده است که نشان دهد چگونه از آنها در زندگی واقعی سوء استفاده کنیم.

دو آسیب‌پذیری جالب توجه در میان 11 مورد ظاهر می‌شوند، یعنی:

CVE-2023-28161: مجوزهای یکبار مصرف داده شده به یک فایل محلی به سایر فایل های محلی بارگذاری شده در همان برگه گسترش یافت. با استفاده از این باگ، اگر یک فایل محلی (مانند محتوای دانلود شده HTML) را باز کنید که می‌خواهد مثلاً به وب‌کم شما دسترسی داشته باشد، هر فایل محلی دیگری که بعداً باز می‌کنید، بدون درخواست از شما به طور جادویی مجوز دسترسی را به ارث می‌برد. همانطور که موزیلا اشاره کرد، اگر مجموعه‌ای از آیتم‌ها را در فهرست دانلود خود جستجو می‌کنید، ممکن است منجر به مشکل شود - هشدارهای مجوز دسترسی که مشاهده می‌کنید به ترتیب باز کردن فایل‌ها بستگی دارد.
CVE-2023-28163: Windows Save As متغیرهای محیطی را حل کرد. این یکی دیگر از یادآوری دقیق است ورودی های خود را ضد عفونی کنیدهمانطور که ما دوست داریم بگوییم. در دستورات ویندوز، برخی از توالی کاراکترها به طور خاص مورد توجه قرار می گیرند، مانند %USERNAME%، که به نام کاربر وارد شده فعلی تبدیل می شود یا %PUBLIC%، که نشان دهنده یک دایرکتوری مشترک است که معمولاً در C:Users. یک وب‌سایت یواشکی می‌تواند از این به عنوان راهی برای فریب شما برای دیدن و تأیید دانلود نام فایلی استفاده کند که به نظر بی‌ضرر می‌رسد اما در فهرستی قرار می‌گیرد که انتظارش را ندارید (و جایی که ممکن است بعداً متوجه نشوید که به پایان رسیده است).

چه کاری انجام دهید؟

اکثر کاربران فایرفاکس به‌روزرسانی را به‌طور خودکار دریافت می‌کنند، معمولاً پس از یک تأخیر تصادفی تا دانلود کامپیوتر همه در همان لحظه متوقف شود…

... اما شما می توانید با استفاده دستی از انتظار جلوگیری کنید کمک > درباره ما (و یا فایرفاکس > درباره Firefox در Mac) روی لپ‌تاپ، یا با اجبار به‌روزرسانی فروشگاه App یا Google Play در دستگاه تلفن همراه.

(اگر کاربر لینوکس هستید و فایرفاکس توسط سازنده توزیع شما ارائه شده است، برای بررسی در دسترس بودن نسخه جدید، سیستم را به روز کنید.)

محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
منبع: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/

تمبر زمان: مارس 14، 2023

تمبر زمان: ژوئیه 21، 2022

اشکال Ghostscript می تواند به اسناد سرکش اجازه دهد تا دستورات سیستم را اجرا کنند

خوشه منبع:

خوشه منبع:

امنیت برهنه

گره منبع: 2066283

تمبر زمان: آوریل 20، 2023

فایرفاکس 111 11 حفره را اصلاح می کند، اما نه 1 روز صفر در میان آنها…

بازنشر افلاطون

یازده تکه تکی، و دو دسته تکه

چه کاری انجام دهید؟

بیشتر از امنیت برهنه

S3 Ep96: زوم 0 روزه، نشت AEPIC، پاداش Conti، امنیت مراقبت از سلامت [صوت + متن]

از بسته‌های جاوا اسکریپت NPM برای ایجاد پیوندهای scambait به صورت انبوه سوء استفاده شد

S3 Ep102.5: "ProxyNotShell" اشکالات تبادل - یک متخصص صحبت می کند [صوت + متن]

S3 Ep92: Log4Shell4Ever، نکات سفر و کلاهبرداری [صوتی + متن]

اشکال Ghostscript می تواند به اسناد سرکش اجازه دهد تا دستورات سیستم را اجرا کنند

امنیت جدی: شما نمی توانید در بلک جک خانه را شکست دهید - یا می توانید؟

APIC/EPIC! اسرار تراشه‌های اینتل درز می‌کند که حتی هسته‌ای که نباید آن را ببیند…

درباره‌ ما

جستجوی عمودی و هوش مصنوعی

سکو

همیشه در ارتباط ماندن

حساب