Firefox 111 patcht 11 holes, maar niet 1 zero-day onder hen...

Gehoord van cricket (de sport, niet het insect)?

Het lijkt veel op honkbal, behalve dat slagmensen de bal kunnen slaan waar ze maar willen, ook achterwaarts of zijwaarts; bowlers kunnen de slagman expres met de bal raken (natuurlijk binnen bepaalde veiligheidslimieten - anders zou het gewoon geen cricket zijn) zonder een 20 minuten durende all-in vechtpartij te beginnen; er is bijna altijd een pauze midden in de middag voor thee en cake; en je kunt zes runs tegelijk scoren zolang je de bal maar hoog en ver genoeg slaat (zeven als de bowler ook een fout maakt).

Nou, zoals cricketliefhebbers weten, is 111 runs een bijgelovige score, die door velen als ongunstig wordt beschouwd - het equivalent van de cricketspeler van Macbeth aan een acteur.

Het staat bekend als een Nelson, hoewel niemand eigenlijk lijkt te weten waarom.

Vandaag wordt daarom Nelson van Firefox uitgebracht, met versie 111.0 die uitkomt, maar er lijkt niets ongunstigs aan te zijn.

Elf individuele pleisters en twee partijen pleisters

Zoals gebruikelijk zijn er tal van beveiligingspatches in de update, waaronder Mozilla's gebruikelijke combo-CVE-kwetsbaarheidsnummers voor potentieel exploiteerbare bugs die automatisch werden gevonden en gepatcht zonder te wachten om te zien of een proof-of-concept (PoC) exploit mogelijk was:

• CVE-2023-28176: Geheugenveiligheidsbugs verholpen in Firefox 111 en Firefox ESR 102.9. Deze bugs werden gedeeld tussen de huidige versie (die nieuwe functies bevat) en de ESR-versie, een afkorting van verlengde ondersteuningsrelease (beveiligingsoplossingen toegepast, maar met nieuwe functies bevroren sinds versie 102, negen releases geleden).
• CVE-2023-28177: Geheugenveiligheidsbugs alleen opgelost in Firefox 111. Deze bugs komen vrijwel zeker alleen voor in nieuwe code die nieuwe functies met zich meebracht, aangezien ze niet opdoken in de oudere ESR-codebase.

Deze bugs zijn beoordeeld Hoge dan kritisch.

Mozilla geeft toe dat "we veronderstellen dat sommige hiervan met voldoende inspanning zouden kunnen worden uitgebuit om willekeurige code uit te voeren", maar niemand heeft nog bedacht hoe dat moet, en zelfs of dergelijke exploits haalbaar zijn.

Geen van de andere elf CVE-genummerde bugs deze maand was erger dan dat Hoge; drie ervan zijn alleen van toepassing op Firefox voor Android; en nog niemand heeft (voor zover we weten) een PoC-exploit bedacht die laat zien hoe je ze in het echte leven kunt misbruiken.

Twee opmerkelijk interessante kwetsbaarheden verschijnen onder de 11, namelijk:

• CVE-2023-28161: Eenmalige machtigingen die aan een lokaal bestand waren verleend, werden uitgebreid naar andere lokale bestanden die op hetzelfde tabblad waren geladen. Als je met deze bug een lokaal bestand opende (zoals gedownloade HTML-inhoud) dat bijvoorbeeld toegang tot je webcam wilde, dan zou elk ander lokaal bestand dat je daarna opende op magische wijze die toegangsmachtiging erven zonder het je te vragen. Zoals Mozilla opmerkte, kan dit tot problemen leiden als u door een verzameling items in uw downloaddirectory bladert - de waarschuwingen voor toegangsrechten die u ziet, zijn afhankelijk van de volgorde waarin u de bestanden hebt geopend.
• CVE-2023-28163: Windows-dialoogvenster Opslaan als opgeloste omgevingsvariabelen. Dit is weer een scherpe herinnering aan zuiver uw ingangen, zoals we graag zeggen. In Windows-opdrachten worden sommige tekenreeksen speciaal behandeld, zoals %USERNAME%, die wordt geconverteerd naar de naam van de momenteel aangemelde gebruiker, of %PUBLIC%, wat een gedeelde map aangeeft, meestal in C:Users. Een stiekeme website zou dit kunnen gebruiken als een manier om u te misleiden zodat u een bestandsnaam ziet en goedkeurt die er onschadelijk uitziet, maar in een map terechtkomt die u niet zou verwachten (en waar u later misschien niet eens beseft dat het terecht was gekomen).

Wat te doen?

De meeste Firefox-gebruikers krijgen de update automatisch, meestal na een willekeurige vertraging om het downloaden van alle computers op hetzelfde moment te stoppen...

... maar u kunt het wachten voorkomen door handmatig te gebruiken Help > Over (of Firefox > Over Firefox op een Mac) op een laptop, of door een App Store- of Google Play-update op een mobiel apparaat te forceren.

(Als u een Linux-gebruiker bent en Firefox wordt geleverd door de maker van uw distro, voert u een systeemupdate uit om te controleren of de nieuwe versie beschikbaar is.)

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/