फ़ायरफ़ॉक्स 111 में 11 छेद हैं, लेकिन उनमें से 1 शून्य-दिन नहीं ...

क्रिकेट के बारे में सुना है (खेल, कीट नहीं)?

यह काफी हद तक बेसबॉल की तरह है, सिवाय इसके कि बल्लेबाज गेंद को जहां चाहें हिट कर सकते हैं, जिसमें पीछे की तरफ या साइडवे भी शामिल है; गेंदबाज जानबूझकर गेंद से बल्लेबाज को हिट कर सकते हैं (निश्चित सुरक्षा सीमाओं के भीतर, निश्चित रूप से - यह सिर्फ क्रिकेट नहीं होगा अन्यथा) 20 मिनट के ऑल-इन विवाद को किक किए बिना; चाय और केक के लिए दोपहर के बीच में लगभग हमेशा एक ब्रेक होता है; और आप एक समय में छह रन बना सकते हैं जब तक आप गेंद को काफी ऊपर और काफी दूर तक मारते हैं (सात अगर गेंदबाज भी गलती करता है)।

खैर, जैसा कि क्रिकेट प्रेमी जानते हैं, 111 रन एक अंधविश्वासी स्कोर है, जिसे कई लोग अशुभ मानते हैं - क्रिकेटर के बराबर मैकबेथ एक अभिनेता को।

इसे ए के रूप में जाना जाता है नेल्सन, हालांकि वास्तव में किसी को पता नहीं क्यों लगता है।

इसलिए आज फ़ायरफ़ॉक्स का नेल्सन रिलीज़ हो रहा है, जिसका संस्करण 111.0 आ रहा है, लेकिन इसमें कुछ भी अशुभ नहीं लगता है।

ग्यारह व्यक्तिगत पैच, और दो बैच-ऑफ-पैच

हमेशा की तरह, अद्यतन में कई सुरक्षा पैच हैं, जिनमें मोज़िला के संभावित शोषक बगों के लिए सामान्य कॉम्बो-सीवीई भेद्यता संख्याएं शामिल हैं जो स्वचालित रूप से पाए गए और यह देखने के लिए इंतजार किए बिना पैच किए गए कि क्या प्रूफ-ऑफ-कॉन्सेप्ट (पीओसी) शोषण संभव था:

• सीवीई-2023-28176: फ़ायरफ़ॉक्स 111 और फ़ायरफ़ॉक्स ईएसआर 102.9 में मेमोरी सुरक्षा बग फिक्स। इन बगों को वर्तमान संस्करण (जिसमें नई सुविधाएँ शामिल हैं) और ESR संस्करण के बीच साझा किया गया था, जिसका संक्षिप्त नाम है विस्तारित समर्थन रिलीज (सुरक्षा सुधार लागू किए गए, लेकिन संस्करण 102 के बाद से नई सुविधाओं के साथ, नौ रिलीज़ पहले)।
• सीवीई-2023-28177: स्मृति सुरक्षा बग को केवल Firefox 111 में ठीक किया गया है। ये बग लगभग निश्चित रूप से केवल नए कोड में मौजूद हैं जो नई सुविधाओं में लाए गए हैं, यह देखते हुए कि वे पुराने ईएसआर कोडबेस में दिखाई नहीं दे रहे थे।

इन बैग-ऑफ-बग को रेट किया गया है हाई बजाय आलोचनात्मक.

मोज़िला स्वीकार करता है कि "हम मानते हैं कि पर्याप्त प्रयास के साथ इनमें से कुछ का मनमाना कोड चलाने के लिए शोषण किया जा सकता था", लेकिन कोई भी अभी तक यह पता नहीं लगा पाया है कि ऐसा कैसे किया जाए, या भले ही इस तरह के कारनामे संभव हों।

इस महीने अन्य ग्यारह सीवीई-क्रमांकित बगों में से कोई भी खराब नहीं था हाई; उनमें से तीन केवल Android के लिए Firefox पर लागू होते हैं; और कोई भी अभी तक (जहां तक ​​हम अभी तक जानते हैं) पीओसी शोषण के साथ नहीं आया है जो दिखाता है कि वास्तविक जीवन में उनका दुरुपयोग कैसे किया जाए।

11 में से दो विशेष रूप से दिलचस्प भेद्यताएं दिखाई देती हैं, अर्थात्:

• सीवीई-2023-28161: किसी स्थानीय फ़ाइल को दी गई एक बार की अनुमति उसी टैब में लोड की गई अन्य स्थानीय फ़ाइलों तक बढ़ा दी गई थी। इस बग के साथ, यदि आपने एक स्थानीय फ़ाइल (जैसे कि डाउनलोड की गई HTML सामग्री) खोली है, जो आपके वेबकैम तक पहुँच चाहती है, तो आपके द्वारा बाद में खोली गई कोई भी अन्य स्थानीय फ़ाइल जादुई रूप से आपसे पूछे बिना उस पहुँच अनुमति को प्राप्त कर लेगी। जैसा कि मोज़िला ने उल्लेख किया है, यदि आप अपनी डाउनलोड निर्देशिका में आइटमों के संग्रह के माध्यम से देख रहे थे, तो यह समस्या पैदा कर सकता है - आपको दिखाई देने वाली एक्सेस अनुमति चेतावनियाँ उस क्रम पर निर्भर करेंगी जिसमें आपने फ़ाइलें खोली थीं।
• सीवीई-2023-28163: विंडोज सेव अस डायलॉग ने पर्यावरण चर को हल किया। यह एक और उत्सुक अनुस्मारक है अपने इनपुट को स्वच्छ करें, जैसा हम कहना पसंद करते हैं। विंडोज कमांड में, कुछ कैरेक्टर सीक्वेंस को विशेष रूप से ट्रीट किया जाता है, जैसे कि %USERNAME%, जो वर्तमान में लॉग-ऑन उपयोगकर्ता के नाम में परिवर्तित हो जाता है, या %PUBLIC%, जो आमतौर पर एक साझा निर्देशिका को दर्शाता है C:Users. एक डरपोक वेबसाइट इसका उपयोग एक ऐसे फ़ाइल नाम के डाउनलोड को देखने और स्वीकृत करने के तरीके के रूप में कर सकती है जो हानिरहित दिखता है लेकिन एक ऐसी निर्देशिका में आता है जिसकी आप अपेक्षा नहीं करेंगे (और जहाँ आपको बाद में पता नहीं चलेगा कि यह समाप्त हो गया था)।

क्या करना है?

अधिकांश फ़ायरफ़ॉक्स उपयोगकर्ताओं को स्वचालित रूप से अपडेट प्राप्त होगा, आमतौर पर एक ही समय में सभी के कंप्यूटर को डाउनलोड करने से रोकने के लिए यादृच्छिक देरी के बाद ...

...लेकिन आप मैन्युअल रूप से उपयोग करके प्रतीक्षा से बच सकते हैं मदद > About (या Firefox > Firefox के बारे में Mac पर) लैपटॉप पर, या मोबाइल डिवाइस पर ऐप स्टोर या Google Play अपडेट के लिए बाध्य करके।

(यदि आप एक लिनक्स उपयोगकर्ता हैं और आपके डिस्ट्रो के निर्माता द्वारा फ़ायरफ़ॉक्स की आपूर्ति की जाती है, तो नए संस्करण की उपलब्धता की जांच के लिए एक सिस्टम अपडेट करें।)

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/