Firefox 111 korjaa 11 reikää, mutta ei yhtäkään nollapäivää...

Oletko kuullut kriketistä (urheilulajista, ei hyönteisestä)?

Se on paljon kuin baseball, paitsi että lyöjät voivat lyödä palloa missä haluavat, myös taaksepäin tai sivuttain; keilaajat voivat lyödä palloa maalilla tarkoituksella (tietyissä turvallisuusrajoissa tietysti – se ei vain olisi krikettiä muuten) aloittamatta 20 minuutin all-in tappelua; iltapäivällä on melkein aina tauko teetä ja kakkua varten; ja voit tehdä kuusi juoksua kerrallaan, kunhan lyöt pallon korkealle ja riittävän pitkälle (seitsemän, jos keilaaja tekee myös virheen).

No, kuten kriketin harrastajat tietävät, 111 juoksua on taikauskoinen tulos, jota monet pitävät epäsuotuisana – kriketinpelaajan vastine Macbeth näyttelijälle.

Se tunnetaan nimellä a Nelson, vaikka kukaan ei näytä tietävän miksi.

Tänään julkaistaan ​​siis Firefoxin Nelson-julkaisu, jonka versio 111.0 on tulossa, mutta tässä ei näytä olevan mitään epäsuotuisaa.

Yksitoista yksittäistä laastaria ja kaksi erää

Kuten tavallista, päivityksessä on lukuisia tietoturvakorjauksia, mukaan lukien Mozillan tavalliset yhdistelmä-CVE-haavoittuvuusnumerot mahdollisesti hyödynnettävissä oleville virheille, jotka löydettiin automaattisesti ja korjattiin odottamatta, oliko proof-of-concept (PoC) -hyökkäys mahdollista:

• CVE-2023-28176: Muistin turvallisuusvirheet korjattu Firefox 111:ssä ja Firefox ESR 102.9:ssä. Nämä virheet jaettiin nykyisen version (joka sisältää uusia ominaisuuksia) ja ESR-version välillä laajennettu tukivapautus (Suojauskorjauksia käytössä, mutta uusia ominaisuuksia on jäädytetty versiosta 102 lähtien, yhdeksän julkaisua sitten).
• CVE-2023-28177: Muistin turvallisuusvirheet korjattu vain Firefox 111:ssä. Nämä virheet ovat lähes varmasti olemassa vain uudessa koodissa, joka toi uusia ominaisuuksia, koska ne eivät näkyneet vanhemmassa ESR-koodikannassa.

Nämä bugipussit on arvioitu Korkea sen sijaan, kriittinen.

Mozilla myöntää, että "oletamme, että riittävällä vaivalla joitain näistä olisi voitu hyödyntää mielivaltaisen koodin suorittamiseen", mutta kukaan ei ole vielä keksinyt, miten se tehdään, tai vaikka tällaiset hyväksikäytöt olisivat mahdollisia.

Mikään muu yhdestätoista CVE-numeroiduista bugista tässä kuussa ei ollut huonompi Korkea; kolme niistä koskee vain Firefox for Android; eikä kukaan ole vielä (sikäli kuin tiedämme) keksinyt PoC-hyökkäämistä, joka näyttää kuinka niitä voidaan väärinkäyttää tosielämässä.

Kaksi erittäin mielenkiintoista haavoittuvuutta esiintyy 11 joukossa, nimittäin:

• CVE-2023-28161: Paikalliselle tiedostolle myönnetyt kertakäyttöoikeudet laajennettiin muihin samaan välilehteen ladattuihin paikallisiin tiedostoihin. Tämän virheen avulla, jos avasit paikallisen tiedoston (kuten ladatun HTML-sisällön), joka halusi päästä esimerkiksi verkkokameraasi, mikä tahansa paikallinen tiedosto, jonka avaat myöhemmin, perii taianomaisesti tämän käyttöoikeuden kysymättä sinulta. Kuten Mozilla totesi, tämä voi johtaa ongelmiin, jos selaat lataushakemistossasi olevia kohteita – näkemäsi käyttöoikeusvaroitukset riippuvat tiedostojen avausjärjestyksestä.
• CVE-2023-28163: Windowsin Tallenna nimellä -valintaikkuna ratkaisi ympäristömuuttujat. Tämä on toinen tärkeä muistutus desinfioi syötteesi, kuten haluamme sanoa. Windows-komennoissa joitain merkkisarjoja käsitellään erityisesti, kuten %USERNAME%, joka muunnetaan tällä hetkellä kirjautuneen käyttäjän nimeksi, tai %PUBLIC%, joka tarkoittaa jaettua hakemistoa, yleensä sisällä C:Users. Huippusivusto voi käyttää tätä tapana huijata sinut näkemään ja hyväksymään tiedostonimen lataus, joka näyttää vaarattomalta mutta päätyy hakemistoon, jota et odottaisi (ja johon et ehkä myöhemmin huomaa sen päätyneen).

Mitä tehdä?

Useimmat Firefox-käyttäjät saavat päivityksen automaattisesti, tyypillisesti satunnaisen viiveen jälkeen, jotta kaikkien tietokoneiden lataaminen pysähtyy samaan aikaan…

…mutta voit välttää odottamisen manuaalisesti käyttämällä Apu: > Meistä (Tai Firefox > Tietoja Firefoxista Macissa) kannettavassa tietokoneessa tai pakottamalla App Store- tai Google Play -päivitys mobiililaitteeseen.

(Jos olet Linux-käyttäjä ja Firefoxin toimittaa distrosi valmistaja, tarkista uuden version saatavuus tekemällä järjestelmäpäivitys.)

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/