クリケット (昆虫ではなくスポーツ) について聞いたことがありますか?
野球によく似ていますが、打者は後ろ向きや横向きなど、好きな場所でボールを打つことができます。 ボウラーは、20 分間のオールイン乱闘を開始することなく、わざとボールをバッターに当てることができます (もちろん、特定の安全制限内で、それ以外の場合はクリケットではありません)。 ほとんどの場合、午後の真ん中にお茶とケーキの休憩があります。 ボールを十分に高く遠くに飛ばす限り、一度に XNUMX ランを獲得できます (ボウラーもミスを犯した場合は XNUMX ラン)。
クリケット愛好家が知っているように、111 ランは迷信的なスコアであり、多くの人が縁起が悪いと考えています。 マクベス 俳優に。
それはとして知られています Nelson、実際には誰もその理由を知らないようです。
したがって、今日、バージョン 111.0 が公開された Firefox の Nelson リリースが見られますが、これについて不吉なことはないようです。
XNUMX 個の個別パッチと XNUMX 個のパッチのバッチ
いつものように、アップデートには多数のセキュリティ パッチが含まれています。これには、概念実証 (PoC) エクスプロイトが可能かどうかを確認するのを待たずに自動的に検出され、パッチが適用された、悪用される可能性のあるバグに対する Mozilla の通常のコンボ CVE 脆弱性番号が含まれます。
- CVE-2023-28176: Firefox 111 および Firefox ESR 102.9 で修正されたメモリの安全性のバグ。 これらのバグは、現在のバージョン (新機能を含む) と ESR バージョンの間で共有されていました。 延長サポート リリース (セキュリティ修正が適用されましたが、102 リリース前のバージョン XNUMX 以降、新機能は凍結されています)。
- CVE-2023-28177: Firefox 111 でのみメモリの安全性に関するバグが修正されました。 これらのバグは、古い ESR コードベースには見られなかったことを考えると、新機能を導入した新しいコードにのみ存在することはほぼ確実です。
これらのバグの袋は評価されています ハイ ではなく クリティカル.
Mozilla は、「十分な努力をすれば、これらの一部を悪用して任意のコードを実行できた可能性があると推測しています」と認めていますが、その方法や、そのような悪用が実行可能であるかどうかさえ、まだ誰も解明していません。
今月、CVE 番号が付けられた他の XNUMX 件のバグはいずれも、より深刻なものではありませんでした。 ハイ; そのうちの XNUMX つは Android 版 Firefox にのみ適用されます。 そして、(私たちが知る限り)実生活でそれらを悪用する方法を示す PoC エクスプロイトを思いついた人はまだいません。
11 の脆弱性のうち、特に興味深い脆弱性が XNUMX つあります。
- CVE-2023-28161: ローカル ファイルに付与された XNUMX 回限りのアクセス許可が、同じタブに読み込まれた他のローカル ファイルに拡張されました。 このバグにより、たとえば Web カメラへのアクセスが必要なローカル ファイル (ダウンロードされた HTML コンテンツなど) を開いた場合、後で開いた他のローカル ファイルは、ユーザーに尋ねることなくそのアクセス許可を魔法のように継承してしまいます。 Mozilla が指摘したように、これは、ダウンロード ディレクトリ内のアイテムのコレクションを調べている場合に問題を引き起こす可能性があります。表示されるアクセス許可の警告は、ファイルを開いた順序によって異なります。
- CVE-2023-28163: Windows の [名前を付けて保存] ダイアログで環境変数が解決されました。 これは、 あなたの入力をサニタイズする、私たちが言いたいように。 Windows コマンドでは、一部の文字シーケンスは特別に扱われます。
%USERNAME%
、現在ログオンしているユーザーの名前に変換される、または%PUBLIC%
、通常は共有ディレクトリを示しますC:Users
. 卑劣な Web サイトは、これをだまして、無害に見えるファイル名のダウンロードを確認して承認するように仕向ける可能性があります。
何をするか?
ほとんどの Firefox ユーザーは自動的にアップデートを取得しますが、通常はランダムな遅延の後、全員のコンピューターのダウンロードが同時に停止します…
…しかし、手動で使用することで待機を回避できます カスタマーサービス > 私たちについて (または Firefoxの > Firefoxについて Mac の場合) ラップトップで、またはモバイル デバイスで App Store または Google Play の更新を強制的に実行します。
(Linux ユーザーで、ディストリビューションのメーカーから Firefox が提供されている場合は、システムの更新を行って、新しいバージョンが利用可能かどうかを確認してください。)
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/
- :は
- $UP
- 1
- 102
- 11
- 9
- a
- 私たちについて
- 絶対の
- 虐待
- アクセス
- 実際に
- 後
- すべて
- 常に
- 間で
- 間に
- &
- アンドロイド
- 別の
- アプリ
- アプリストア
- 現れる
- 適用された
- 申し込む
- です
- AS
- At
- 著者
- オート
- 自動的に
- 賃貸条件の詳細・契約費用のお見積り等について
- 避ける
- 背景画像
- 玉
- 野球
- BE
- の間に
- 国境
- ボトム
- ブレーク
- た
- バグ
- バグ
- by
- CAKE
- 缶
- センター
- 一定
- 確かに
- 文字
- チェック
- コード
- コードベース
- コレクション
- カラー
- 来ます
- 到来
- コンピュータ
- 見なさ
- コンテンツ
- 変換
- 可能性
- ここから
- カバー
- クリケット
- 電流プローブ
- 現在
- 遅らせる
- デバイス
- 対話
- ディスプレイ
- そうではありません
- ダウンロード
- 努力
- 十一
- 十分な
- 愛好家
- 環境
- 同等の
- さらに
- みんなの
- 除く
- 期待する
- 悪用する
- 搾取
- エクスプロイト
- 遠く
- 実行可能な
- 特徴
- 考え出した
- File
- Firefoxの
- 固定の
- 発見
- 凍結
- 取得する
- 与えられた
- でログイン
- Google Playで
- 付与された
- 持ってる
- 高さ
- ハイ
- ヒット
- 穴
- ホバー
- 認定条件
- How To
- HTML
- HTTPS
- in
- 含ま
- 含めて
- 個人
- 興味深い
- IT
- リーディングシート
- キーン
- 知っている
- 既知の
- 土地
- ノートパソコン
- つながる
- 生活
- ような
- 制限
- linuxの
- ローカル
- 長い
- 探して
- LOOKS
- MAC
- メーカー
- 作る
- 手動で
- マージン
- 最大幅
- 真ん中
- かもしれない
- ミス
- モバイル
- モバイル機器
- 月
- モジラ
- 名
- すなわち
- 新作
- 新しい特徴
- 通常の
- 特に
- 注意
- 番号
- 多数の
- of
- on
- ONE
- 開かれた
- 注文
- その他
- さもないと
- パッチ
- Paul Cairns
- 許可
- パーミッション
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレイ
- PoC
- 位置
- 可能
- 投稿
- :
- 目的
- ランダム
- むしろ
- リアル
- 実生活
- リリース
- リリース
- 解決
- ラン
- 安全性
- 同じ
- Save
- セキュリティ
- 見ること
- と思われる
- 見て
- セブン
- shared
- ショート
- 表示する
- 作品
- 横向きに
- から
- SIX
- 卑劣な
- So
- これまでのところ
- 固体
- 一部
- 特別に
- スポーツ
- Force Stop
- 店舗
- そのような
- 供給
- サポート
- SVG
- Tea
- それ
- それら
- したがって、
- ボーマン
- 三
- 介して
- 時間
- 〜へ
- top
- 遷移
- トランスペアレント
- トラブル
- 一般的に
- アップデイト
- URL
- つかいます
- ユーザー
- users
- 通常
- variables
- バージョン
- 脆弱性
- 脆弱性
- wait
- 待っています
- wanted
- 仕方..
- ウェブカメラ
- ウェブサイト
- WELL
- which
- 意志
- ウィンドウズ
- 以内
- 無し
- でしょう
- あなたの
- ゼファーネット