A Firefox 111 11 lyukat foltoz be, de ezek közül 1 nulladik napot nem…

Hallottál a krikettről (a sportról, nem a rovarról)?

Ez nagyjából olyan, mint a baseball, kivéve, hogy az ütők bárhol üthetik a labdát, ahol akarják, akár hátrafelé vagy oldalra; a tekézők szándékosan eltalálhatják a labdával az ütőt (természetesen bizonyos biztonsági határokon belül – máskülönben nem lenne krikett) anélkül, hogy 20 perces all-in verekedést indítanának el; szinte mindig van szünet a délután közepén teára és süteményre; és egyszerre hat futást érhetsz el, amíg elég magasra és messzire ütöd a labdát (hetet, ha a tekéző is hibázik).

Nos, a krikettrajongók tudják, a 111 futás babonás eredmény, sokak szerint kedvezőtlen – a krikettjátékos megfelelője Macbeth egy színésznek.

Úgy ismert, mint a nelson, bár úgy tűnik, senki sem tudja, miért.

A mai napon tehát megjelenik a Firefox Nelson-kiadása, a 111.0-s verzióval, de úgy tűnik, ebben nincs semmi kedvezőtlen.

Tizenegy egyedi javítás és két köteg javítás

Szokás szerint számos biztonsági javítás található a frissítésben, beleértve a Mozilla szokásos kombinált-CVE sebezhetőségi számát a potenciálisan kihasználható hibákra vonatkozóan, amelyeket automatikusan megtaláltak és kijavítottak anélkül, hogy meg kellett volna várni, hogy lehetséges-e a proof-of-concept (PoC) kizsákmányolás:

• CVE-2023-28176: Memóriabiztonsági hibák javítása a Firefox 111-ben és a Firefox ESR 102.9-ben. Ezeket a hibákat megosztották a jelenlegi verzió (amely új funkciókat tartalmaz) és az ESR-verzió, a rövidítés kiterjesztett támogatási kiadás (Biztonsági javítások alkalmazva, de az új funkciók lefagytak a 102-es verzió óta, kilenc kiadással ezelőtt).
• CVE-2023-28177: Memóriabiztonsági hibák csak a Firefox 111-ben javítva. Ezek a hibák szinte biztosan csak az új kódokban léteznek, amelyek új funkciókat hoztak, mivel a régebbi ESR kódbázisban nem jelentek meg.

Ezek a zacskók a poloskák minősítést kaptak Magas helyett Kritikai.

A Mozilla elismeri, hogy „feltételezzük, hogy kellő erőfeszítéssel ezek közül néhányat ki lehetett volna használni tetszőleges kód futtatására”, de még senki sem jött rá, hogyan kell ezt megtenni, és még azt sem, hogy az ilyen kizsákmányolások megvalósíthatók-e.

Ebben a hónapban a többi tizenegy CVE-számú hiba közül egyik sem volt rosszabb Magas; ezek közül három csak a Firefox for Androidra vonatkozik; és még senki (amennyire tudjuk) még nem talált ki olyan PoC exploitot, amely megmutatná, hogyan lehet visszaélni velük a való életben.

Két különösen érdekes sérülékenység jelenik meg a 11 között, nevezetesen:

• CVE-2023-28161: A helyi fájloknak adott egyszeri engedélyeket kiterjesztették más, ugyanazon a lapon betöltött helyi fájlokra is. Ezzel a hibával, ha megnyitott egy helyi fájlt (például letöltött HTML-tartalmat), amely hozzá akart férni, mondjuk, a webkamerájához, akkor bármely más, később megnyitott helyi fájl varázsütésre örökli ezt a hozzáférési engedélyt anélkül, hogy megkérdezné Öntől. Ahogy a Mozilla megjegyezte, ez problémákhoz vezethet, ha a letöltési könyvtárban lévő elemek gyűjteményét nézi át – a hozzáférési engedélyekre vonatkozó figyelmeztetések a fájlok megnyitásának sorrendjétől függenek.
• CVE-2023-28163: A Windows Mentés másként párbeszédpanel megoldotta a környezeti változókat. Ez egy másik élénk emlékeztető fertőtlenítse a bemeneteit, ahogy mondani szoktuk. A Windows-parancsokban egyes karaktersorozatok speciális kezelésre kerülnek, mint pl %USERNAME%, amely az aktuálisan bejelentkezett felhasználó nevére konvertálódik, vagy %PUBLIC%, amely egy megosztott könyvtárat jelöl, általában benne C:Users. Egy alattomos webhely felhasználhatja ezt arra, hogy rávegye Önt egy olyan fájlnév letöltésére, amely ártalmatlannak tűnik, de egy olyan könyvtárba kerül, amelyre nem számítana (és ahová később talán nem is veszi észre, hogy végül is).

Mit kell tenni?

A legtöbb Firefox-felhasználó automatikusan megkapja a frissítést, jellemzően véletlenszerű késleltetés után, hogy mindenki számítógépére ugyanabban a pillanatban leálljon a letöltés...

…de elkerülheti a várakozást manuális használatával Segítség > Rólunk (Vagy Firefox > A Firefox böngészőről Mac gépen) laptopon, vagy egy App Store vagy a Google Play frissítés kényszerítésével mobileszközön.

(Ha Ön Linux-felhasználó, és a Firefoxot a disztribúció gyártója biztosítja, végezzen rendszerfrissítést, hogy ellenőrizze az új verzió elérhetőségét.)

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/