שמעת על קריקט (הספורט, לא החרק)?
זה דומה מאוד לבייסבול, אלא שחבטים יכולים לפגוע בכדור היכן שהם רוצים, כולל לאחור או הצידה; שחקני כדורת יכולים להכות את החובט עם הכדור בכוונה (בגבולות בטיחות מסוימים, כמובן - זה פשוט לא יהיה קריקט אחרת) מבלי לבעוט קטטה בת 20 דקות; כמעט תמיד יש הפסקה באמצע אחר הצהריים לתה ועוגה; ואתה יכול להבקיע שש ריצות בכל פעם, כל עוד אתה מכה את הכדור גבוה ורחוק מספיק (שבע אם הבולר טועה גם כן).
ובכן, כפי שחובבי קריקט יודעים, 111 ריצות הן תוצאה של אמונות טפלות, שנחשבות לא משמחות בעיני רבים - המקבילה של שחקן הקריקט ל מקבת לשחקן.
זה ידוע בתור א נלסון, למרות שאף אחד לא באמת יודע למה.
לפיכך נראה היום את הוצאת נלסון של Firefox, עם גרסה 111.0 יוצאת, אבל לא נראה שיש משהו לא מדאיג בגרסה הזו.
XNUMX טלאים בודדים, ושתי קבוצות של טלאים
כרגיל, ישנם תיקוני אבטחה רבים בעדכון, כולל מספרי הפגיעות המשולבים-CVE הרגילים של Mozilla עבור באגים הניתנים לניצול, שנמצאו אוטומטית ותוקנו מבלי לחכות לראות אם ניצול הוכחת מושג (PoC) אפשרי:
- CVE-2023-28176: באגי בטיחות זיכרון שתוקנו ב-Firefox 111 וב-Firefox ESR 102.9. באגים אלו חולקו בין הגרסה הנוכחית (הכוללת תכונות חדשות) לבין גרסת ה-ESR, קיצור של שחרור תמיכה מורחב (תיקוני אבטחה הוחלו, אך עם תכונות חדשות שהוקפאו מאז גרסה 102, לפני תשע מהדורות).
- CVE-2023-28177: באגי בטיחות זיכרון שתוקנו ב-Firefox 111 בלבד. באגים אלה קיימים כמעט בוודאות רק בקוד חדש שהביא תכונות חדשות, בהתחשב בכך שהם לא הופיעו בבסיס הקוד הישן יותר של ESR.
שקיות החרקים האלה דורגו גָבוֹהַ ולא קריטי.
מוזילה מודה ש"אנחנו מניחים שעם מספיק מאמץ אפשר היה לנצל חלק מאלה כדי להפעיל קוד שרירותי", אבל אף אחד עדיין לא הבין איך לעשות זאת, או אפילו אם ניצול כזה אפשרי.
אף אחד מאחד עשר הבאגים האחרים עם מספרי CVE החודש לא היה גרוע מזה גָבוֹהַ; שלושה מהם חלים על Firefox עבור אנדרואיד בלבד; ואף אחד עדיין לא (עד כמה שידוע לנו) המציא ניצול PoC שמראה איך להתעלל בהם בחיים האמיתיים.
שתי נקודות תורפה מעניינות במיוחד מופיעות בין 11, כלומר:
- CVE-2023-28161: הרשאות חד פעמיות שניתנו לקובץ מקומי הורחבו לקבצים מקומיים אחרים שנטענו באותה כרטיסייה. עם הבאג הזה, אם פתחת קובץ מקומי (כגון תוכן HTML שהורד) שרצה גישה, נניח, למצלמת האינטרנט שלך, אז כל קובץ מקומי אחר שפתחת לאחר מכן יירש באורח קסם את הרשאת הגישה הזו מבלי לשאול אותך. כפי שציינה מוזילה, זה עלול להוביל לבעיות אם תסתכל באוסף של פריטים בספריית ההורדות שלך - אזהרות הרשאות הגישה שתראה יהיו תלויות בסדר שבו פתחת את הקבצים.
- CVE-2023-28163: משתני סביבה פתרו בתיבת הדו-שיח 'שמירה בשם' של Windows. זו עוד תזכורת חריפה ל לחטא את התשומות שלך, כמו שאנחנו אוהבים לומר. בפקודות Windows, חלק מרצפי התווים מטופלים במיוחד, כגון
%USERNAME%
, אשר מומר לשם המשתמש המחובר כעת, או%PUBLIC%
, המציין ספרייה משותפת, בדרך כלל בC:Users
. אתר ערמומי יכול להשתמש בזה כדרך להערים אותך לראות ולאשר הורדה של שם קובץ שנראה לא מזיק אבל נוחת בספרייה שלא היית מצפה בה (ושם אולי לא תבין מאוחר יותר שהוא הגיע).
מה לעשות?
רוב משתמשי Firefox יקבלו את העדכון באופן אוטומטי, בדרך כלל לאחר עיכוב אקראי כדי לעצור את הורדת המחשב של כולם באותו רגע...
...אבל אתה יכול להימנע מהמתנה על ידי שימוש ידני עֶזרָה > אודות (אוֹ Firefox > אודות Firefox ב-Mac) במחשב נייד, או על ידי כפיית עדכון של App Store או Google Play במכשיר נייד.
(אם אתה משתמש לינוקס ופיירפוקס מסופק על ידי יצרן ההפצה שלך, בצע עדכון מערכת כדי לבדוק את זמינות הגרסה החדשה.)
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/
- :הוא
- $ למעלה
- 1
- 102
- 11
- 9
- a
- אודות
- מוּחלָט
- התעללות
- גישה
- למעשה
- לאחר
- תעשיות
- תמיד
- בין
- בין היתר
- ו
- דְמוּי אָדָם
- אחר
- האפליקציה
- חנות האפליקציות
- לְהוֹפִיעַ
- יישומית
- החל
- ARE
- AS
- At
- מחבר
- המכונית
- באופן אוטומטי
- זמינות
- לְהִמָנַע
- רקע תמונה
- כדור
- בייסבול
- BE
- בֵּין
- גבול
- תַחתִית
- לשבור
- מובא
- חרק
- באגים
- by
- עוגה
- CAN
- מרכז
- מסוים
- בהחלט
- אופי
- לבדוק
- קוד
- בסיס קוד
- אוסף
- צֶבַע
- איך
- מגיע
- המחשב
- נחשב
- תוכן
- הומר
- יכול
- קורס
- לכסות
- קריקט
- נוֹכְחִי
- כיום
- עיכוב
- מכשיר
- דיאלוג
- לְהַצִיג
- לא
- להורדה
- מאמץ
- אחד עשר
- מספיק
- חובבי
- סביבה
- שווה
- אֲפִילוּ
- כולם
- אלא
- לצפות
- לנצל
- ומנוצל
- מעללים
- רחוק
- אפשרי
- תכונות
- חשבתי
- שלח
- קבצים
- Firefox
- קבוע
- בעד
- מצא
- קפוא
- לקבל
- נתן
- Play Google
- כמובן מאליו
- יש
- גובה
- גָבוֹהַ
- מכה
- חורים
- לרחף
- איך
- איך
- HTML
- HTTPS
- in
- כולל
- כולל
- בנפרד
- מעניין
- IT
- פריטים
- נִלהָב
- לדעת
- ידוע
- אדמות
- מחשב נייד
- עוֹפֶרֶת
- החיים
- כמו
- גבולות
- לינוקס
- מקומי
- ארוך
- הסתכלות
- נראה
- מק
- יצרן
- עושה
- באופן ידני
- שולים
- max-width
- אמצע
- יכול
- טעות
- סלולרי
- מכשיר נייד
- חוֹדֶשׁ
- מוזילה
- שם
- כלומר
- חדש
- תכונות חדשות
- נוֹרמָלִי
- בייחוד
- ציין
- מספרים
- רב
- of
- on
- ONE
- נפתח
- להזמין
- אחר
- אַחֶרֶת
- טלאים
- פול
- רשות
- הרשאות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- PoC
- עמדה
- אפשרי
- הודעות
- פוטנציאל
- מטרה
- אקראי
- במקום
- ממשי
- חיים אמיתיים
- לשחרר
- עיתונות
- נפתרה
- הפעלה
- בְּטִיחוּת
- אותו
- שמור
- אבטחה
- ראות
- נראה
- רואה
- שבע
- משותף
- קצר
- לְהַצִיג
- הופעות
- הצידה
- since
- שישה
- מִתגַנֵב
- So
- עד כה
- מוצק
- כמה
- במיוחד
- ספורט
- עצור
- חנות
- כזה
- שסופק
- תמיכה
- SVG
- מערכת
- תֵה
- זֶה
- אל האני
- אותם
- לכן
- אלה
- שְׁלוֹשָׁה
- דרך
- זמן
- ל
- חלק עליון
- מַעֲבָר
- שָׁקוּף
- צרה
- בדרך כלל
- עדכון
- כתובת האתר
- להשתמש
- משתמש
- משתמשים
- בְּדֶרֶך כְּלַל
- משתנים
- גרסה
- פגיעויות
- פגיעות
- לחכות
- הַמתָנָה
- רציתי
- דֶרֶך..
- מצלמת
- אתר
- טוֹב
- אשר
- יצטרך
- חלונות
- עם
- בתוך
- לְלֹא
- היה
- זפירנט