Firefox 111 מתקן 11 חורים, אבל לא יום אפס אחד ביניהם...

הועלה מחדש על ידי אפלטון

עוקב: 0

שמעת על קריקט (הספורט, לא החרק)?

זה דומה מאוד לבייסבול, אלא שחבטים יכולים לפגוע בכדור היכן שהם רוצים, כולל לאחור או הצידה; שחקני כדורת יכולים להכות את החובט עם הכדור בכוונה (בגבולות בטיחות מסוימים, כמובן - זה פשוט לא יהיה קריקט אחרת) מבלי לבעוט קטטה בת 20 דקות; כמעט תמיד יש הפסקה באמצע אחר הצהריים לתה ועוגה; ואתה יכול להבקיע שש ריצות בכל פעם, כל עוד אתה מכה את הכדור גבוה ורחוק מספיק (שבע אם הבולר טועה גם כן).

ובכן, כפי שחובבי קריקט יודעים, 111 ריצות הן תוצאה של אמונות טפלות, שנחשבות לא משמחות בעיני רבים - המקבילה של שחקן הקריקט ל מקבת לשחקן.

זה ידוע בתור א נלסון, למרות שאף אחד לא באמת יודע למה.

לפיכך נראה היום את הוצאת נלסון של Firefox, עם גרסה 111.0 יוצאת, אבל לא נראה שיש משהו לא מדאיג בגרסה הזו.

.s-button+.s-button { margin-left: .3125rem; } .s-button { transition: all .15s ליניארי; גודל גופן: .875rem; גובה קו: 1.5; צבע: #f2f2f2; משפחת גופנים: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; תצוגה: בלוק מוטבע; ריפוד: .3125rem 1.25rem; סמן: מצביע; יישור טקסט: מרכז; קישוט טקסט: אין; גבול: 1px מוצק #005bc8; border-radius: 3px; צבע רקע: #005bc8; text-shadow: אין; } .s-button:hover { text-decoration: none; צבע: #fff; צבע גבול: #002d62; צבע רקע: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; צבע גבול: #fff; צבע רקע: #fff; } .s-ad-sophos-mdr { font-size: 1rem; גובה קו: 1.5; צבע: #242629; font-family: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; עמדה: קרוב משפחה; רוחב מקסימלי: 769 פיקסלים; שוליים: 15px אוטומטי; ריפוד: 30px 30px 25px; transition: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); יישור טקסט: מרכז; צבע רקע: #0d141d; רקע-חזרה: אין-חזרה; מיקום רקע: 50%; רקע-גודל: כריכה; קופסא-צל: 0 0 0 0 0 שקוף; צבע רקע: #005bc8; רקע-תמונה: אין; מיקום רקע: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; גובה קו: 1.125; margin-bottom: 4px; צבע: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; גודל גופן: 17px; צבע: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { מיקום: מוחלט; למעלה: 15px; מימין: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; רוחב: 64 פיקסלים; גובה: 11 פיקסלים; יישור אנכי: למעלה; רקע-חזרה: אין-חזרה; גודל רקע: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; גודל גופן: 28px; משקל גופן: 700; גובה קו: 1; margin-bottom: 10px; יישור טקסט: שמאלה; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; גובה קו: 1.25; יישור טקסט: שמאלה; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { מיקום: מוחלט; מימין: 30 פיקסלים; תחתון: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

XNUMX טלאים בודדים, ושתי קבוצות של טלאים

כרגיל, ישנם תיקוני אבטחה רבים בעדכון, כולל מספרי הפגיעות המשולבים-CVE הרגילים של Mozilla עבור באגים הניתנים לניצול, שנמצאו אוטומטית ותוקנו מבלי לחכות לראות אם ניצול הוכחת מושג (PoC) אפשרי:

CVE-2023-28176: באגי בטיחות זיכרון שתוקנו ב-Firefox 111 וב-Firefox ESR 102.9. באגים אלו חולקו בין הגרסה הנוכחית (הכוללת תכונות חדשות) לבין גרסת ה-ESR, קיצור של שחרור תמיכה מורחב (תיקוני אבטחה הוחלו, אך עם תכונות חדשות שהוקפאו מאז גרסה 102, לפני תשע מהדורות).
CVE-2023-28177: באגי בטיחות זיכרון שתוקנו ב-Firefox 111 בלבד. באגים אלה קיימים כמעט בוודאות רק בקוד חדש שהביא תכונות חדשות, בהתחשב בכך שהם לא הופיעו בבסיס הקוד הישן יותר של ESR.

שקיות החרקים האלה דורגו גָבוֹהַ ולא קריטי.

מוזילה מודה ש"אנחנו מניחים שעם מספיק מאמץ אפשר היה לנצל חלק מאלה כדי להפעיל קוד שרירותי", אבל אף אחד עדיין לא הבין איך לעשות זאת, או אפילו אם ניצול כזה אפשרי.

אף אחד מאחד עשר הבאגים האחרים עם מספרי CVE החודש לא היה גרוע מזה גָבוֹהַ; שלושה מהם חלים על Firefox עבור אנדרואיד בלבד; ואף אחד עדיין לא (עד כמה שידוע לנו) המציא ניצול PoC שמראה איך להתעלל בהם בחיים האמיתיים.

שתי נקודות תורפה מעניינות במיוחד מופיעות בין 11, כלומר:

CVE-2023-28161: הרשאות חד פעמיות שניתנו לקובץ מקומי הורחבו לקבצים מקומיים אחרים שנטענו באותה כרטיסייה. עם הבאג הזה, אם פתחת קובץ מקומי (כגון תוכן HTML שהורד) שרצה גישה, נניח, למצלמת האינטרנט שלך, אז כל קובץ מקומי אחר שפתחת לאחר מכן יירש באורח קסם את הרשאת הגישה הזו מבלי לשאול אותך. כפי שציינה מוזילה, זה עלול להוביל לבעיות אם תסתכל באוסף של פריטים בספריית ההורדות שלך - אזהרות הרשאות הגישה שתראה יהיו תלויות בסדר שבו פתחת את הקבצים.
CVE-2023-28163: משתני סביבה פתרו בתיבת הדו-שיח 'שמירה בשם' של Windows. זו עוד תזכורת חריפה ל לחטא את התשומות שלך, כמו שאנחנו אוהבים לומר. בפקודות Windows, חלק מרצפי התווים מטופלים במיוחד, כגון %USERNAME%, אשר מומר לשם המשתמש המחובר כעת, או %PUBLIC%, המציין ספרייה משותפת, בדרך כלל ב C:Users. אתר ערמומי יכול להשתמש בזה כדרך להערים אותך לראות ולאשר הורדה של שם קובץ שנראה לא מזיק אבל נוחת בספרייה שלא היית מצפה בה (ושם אולי לא תבין מאוחר יותר שהוא הגיע).

מה לעשות?

רוב משתמשי Firefox יקבלו את העדכון באופן אוטומטי, בדרך כלל לאחר עיכוב אקראי כדי לעצור את הורדת המחשב של כולם באותו רגע...

...אבל אתה יכול להימנע מהמתנה על ידי שימוש ידני עֶזרָה > אודות (אוֹ Firefox > אודות Firefox ב-Mac) במחשב נייד, או על ידי כפיית עדכון של App Store או Google Play במכשיר נייד.

(אם אתה משתמש לינוקס ופיירפוקס מסופק על ידי יצרן ההפצה שלך, בצע עדכון מערכת כדי לבדוק את זמינות הגרסה החדשה.)