Firefox 111 menambal 11 lubang, tetapi tidak ada 1 zero-day di antaranya…

Pernah dengar kriket (olahraga, bukan serangga)?

Ini seperti bisbol, kecuali pemukul dapat memukul bola di mana pun mereka suka, termasuk ke belakang atau ke samping; pemain bowling dapat memukul pemukul dengan bola dengan sengaja (dalam batas keamanan tertentu, tentu saja – sebaliknya tidak akan menjadi kriket) tanpa memulai perkelahian all-in selama 20 menit; hampir selalu ada istirahat di sore hari untuk minum teh dan kue; dan Anda bisa mencetak enam run sekaligus selama Anda memukul bola tinggi dan cukup jauh (tujuh jika bowler juga melakukan kesalahan).

Nah, seperti yang diketahui para penggemar kriket, 111 run adalah skor takhayul, yang dianggap tidak menguntungkan oleh banyak orang – setara dengan pemain kriket Macbeth kepada seorang aktor.

Ini dikenal sebagai Nelson, meskipun tampaknya tidak ada yang benar-benar tahu mengapa.

Oleh karena itu hari ini melihat rilis Firefox Nelson, dengan versi 111.0 keluar, tetapi sepertinya tidak ada yang tidak menguntungkan tentang yang satu ini.

Sebelas patch individu, dan dua batch-of-patch

Seperti biasa, ada banyak tambalan keamanan dalam pembaruan, termasuk nomor kerentanan kombo-CVE Mozilla yang biasa untuk bug yang berpotensi dapat dieksploitasi yang ditemukan secara otomatis dan ditambal tanpa menunggu untuk melihat apakah eksploitasi proof-of-concept (PoC) dimungkinkan:

• CVE-2023-28176: Bug keamanan memori diperbaiki di Firefox 111 dan Firefox ESR 102.9. Bug ini dibagi antara versi saat ini (yang menyertakan fitur baru) dan versi ESR, kependekan dari rilis dukungan diperpanjang (perbaikan keamanan diterapkan, tetapi dengan fitur baru yang dibekukan sejak versi 102, sembilan rilis lalu).
• CVE-2023-28177: Bug keamanan memori diperbaiki hanya di Firefox 111. Bug ini hampir pasti hanya ada di kode baru yang menghadirkan fitur baru, mengingat bug tersebut tidak muncul di basis kode ESR lama.

Kantong serangga ini telah diberi peringkat High daripada Kritis.

Mozilla mengakui bahwa "kami berasumsi bahwa dengan upaya yang cukup, beberapa di antaranya dapat dieksploitasi untuk menjalankan kode arbitrer", tetapi belum ada yang menemukan cara untuk melakukannya, atau bahkan jika eksploit semacam itu dapat dilakukan.

Tak satu pun dari sebelas bug bernomor CVE lainnya bulan ini yang lebih buruk dari itu High; tiga di antaranya hanya berlaku untuk Firefox untuk Android; dan belum ada yang (sejauh yang kami tahu) menemukan eksploitasi PoC yang menunjukkan cara menyalahgunakannya di kehidupan nyata.

Dua kerentanan yang sangat menarik muncul di antara 11, yaitu:

• CVE-2023-28161: Izin satu kali yang diberikan ke file lokal diperluas ke file lokal lainnya yang dimuat di tab yang sama. Dengan bug ini, jika Anda membuka file lokal (seperti konten HTML yang diunduh) yang menginginkan akses, katakanlah, ke webcam Anda, maka file lokal lainnya yang Anda buka setelahnya akan secara ajaib mewarisi izin akses itu tanpa bertanya kepada Anda. Seperti yang dicatat Mozilla, ini dapat menyebabkan masalah jika Anda melihat-lihat kumpulan item di direktori unduhan Anda – peringatan izin akses yang Anda lihat akan bergantung pada urutan Anda membuka file.
• CVE-2023-28163: Dialog Windows Save As menyelesaikan variabel lingkungan. Ini adalah pengingat tajam lainnya untuk bersihkan input Anda, seperti yang ingin kami katakan. Dalam perintah Windows, beberapa urutan karakter diperlakukan secara khusus, seperti %USERNAME%, yang akan dikonversi menjadi nama pengguna yang saat ini masuk, atau %PUBLIC%, yang menunjukkan direktori bersama, biasanya di C:Users. Situs web licik dapat menggunakan ini sebagai cara untuk menipu Anda agar melihat dan menyetujui pengunduhan nama file yang terlihat tidak berbahaya tetapi mendarat di direktori yang tidak Anda duga (dan di mana Anda mungkin tidak menyadarinya kemudian).

Apa yang harus dilakukan?

Sebagian besar pengguna Firefox akan mendapatkan pembaruan secara otomatis, biasanya setelah penundaan acak untuk menghentikan pengunduhan komputer semua orang pada saat yang sama…

…tetapi Anda dapat menghindari menunggu dengan menggunakan secara manual Bantuan > Tentang Kami (Atau Firefox > Tentang Firefox di Mac) di laptop, atau dengan memaksa pembaruan App Store atau Google Play di perangkat seluler.

(Jika Anda pengguna Linux dan Firefox disediakan oleh pembuat distro Anda, lakukan pembaruan sistem untuk memeriksa ketersediaan versi baru.)

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Sumber: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/