Hørt om cricket (sporten, ikke insektet)?
Det er omtrent som baseball, bortsett fra at battere kan slå ballen hvor de vil, inkludert bakover eller sidelengs; bowlere kan slå slageren med ballen med vilje (innenfor visse sikkerhetsgrenser, selvfølgelig – det ville bare ikke vært cricket ellers) uten å starte en 20-minutters all-in-kamp; det er nesten alltid en pause midt på ettermiddagen for te og kake; og du kan score seks løp om gangen så lenge du slår ballen høyt og langt nok (sju hvis bowleren også gjør en feil).
Vel, som cricket-entusiaster vet, er 111 løp en overtroisk poengsum, ansett som uheldig av mange – cricketspillerens ekvivalent til Macbeth til en skuespiller.
Det er kjent som en Nelson, selv om ingen faktisk ser ut til å vite hvorfor.
I dag ser derfor Firefox sin Nelson utgivelse, med versjon 111.0 som kommer ut, men det ser ikke ut til å være noe uheldig med denne.
Elleve individuelle lapper og to lapper
Som vanlig er det mange sikkerhetsoppdateringer i oppdateringen, inkludert Mozillas vanlige combo-CVE sårbarhetsnumre for potensielt utnyttbare feil som ble funnet automatisk og lappet uten å vente for å se om en proof-of-concept (PoC) utnyttelse var mulig:
- CVE-2023-28176: Minnesikkerhetsfeil fikset i Firefox 111 og Firefox ESR 102.9. Disse feilene ble delt mellom den nåværende versjonen (som inkluderer nye funksjoner) og ESR-versjonen, en forkortelse for utvidet støtteutgivelse (sikkerhetsreparasjoner brukt, men med nye funksjoner frosset siden versjon 102, for ni utgivelser siden).
- CVE-2023-28177: Minnesikkerhetsfeil fikset kun i Firefox 111. Disse feilene eksisterer nesten helt sikkert bare i ny kode som brakte inn nye funksjoner, gitt at de ikke dukket opp i den eldre ESR-kodebasen.
Disse posene med insekter har blitt vurdert Høy snarere enn Kritisk.
Mozilla innrømmer at "vi antar at med nok innsats kunne noen av disse blitt utnyttet til å kjøre vilkårlig kode", men ingen har ennå funnet ut hvordan man gjør det, eller til og med om slike utnyttelser er gjennomførbare.
Ingen av de andre elleve CVE-nummererte feilene denne måneden var verre enn Høy; tre av dem gjelder kun Firefox for Android; og ingen har ennå (så vidt vi vet ennå) kommet opp med en PoC-utnyttelse som viser hvordan man kan misbruke dem i det virkelige liv.
To spesielt interessante sårbarheter dukker opp blant de 11, nemlig:
- CVE-2023-28161: Engangstillatelser gitt til en lokal fil ble utvidet til andre lokale filer lastet i samme fane. Med denne feilen, hvis du åpnet en lokal fil (som nedlastet HTML-innhold) som ønsket tilgang, for eksempel, til webkameraet ditt, ville enhver annen lokal fil du åpnet etterpå på magisk vis arve tilgangstillatelsen uten å spørre deg. Som Mozilla bemerket, kan dette føre til problemer hvis du ser gjennom en samling av elementer i nedlastingskatalogen din – advarslene om tilgangstillatelse du vil se vil avhenge av rekkefølgen du åpnet filene i.
- CVE-2023-28163: Windows Lagre som-dialogen løste miljøvariabler. Dette er nok en ivrig påminnelse til rense innspillene dine, som vi liker å si. I Windows-kommandoer behandles enkelte tegnsekvenser spesielt, som f.eks
%USERNAME%
, som blir konvertert til navnet på den påloggede brukeren, eller%PUBLIC%
, som angir en delt katalog, vanligvis iC:Users
. Et lurt nettsted kan bruke dette som en måte å lure deg til å se og godkjenne nedlastingen av et filnavn som ser ufarlig ut, men som lander i en katalog du ikke forventer (og hvor du kanskje ikke senere innser at det hadde havnet).
Hva gjør jeg?
De fleste Firefox-brukere vil få oppdateringen automatisk, vanligvis etter en tilfeldig forsinkelse for å stoppe alles datamaskin nedlasting i samme øyeblikk...
…men du kan unngå ventetiden ved å bruke manuelt Hjelp > Om oss (eller Firefox > Om Firefox på en Mac) på en bærbar datamaskin, eller ved å tvinge en App Store- eller Google Play-oppdatering på en mobilenhet.
(Hvis du er en Linux-bruker og Firefox er levert av produsenten av distroen din, gjør en systemoppdatering for å sjekke tilgjengeligheten til den nye versjonen.)
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/
- :er
- $OPP
- 1
- 102
- 11
- 9
- a
- Om oss
- Absolute
- misbruk
- adgang
- faktisk
- Etter
- Alle
- alltid
- blant
- blant
- og
- android
- En annen
- app
- app store
- vises
- anvendt
- Påfør
- ER
- AS
- At
- forfatter
- auto
- automatisk
- tilgjengelighet
- unngå
- background-image
- ball
- baseball
- BE
- mellom
- grensen
- Bunn
- Break
- brakte
- Bug
- bugs
- by
- KAKE
- CAN
- sentrum
- viss
- Gjerne
- karakter
- sjekk
- kode
- kodebase
- samling
- farge
- Kom
- kommer
- datamaskin
- ansett
- innhold
- konvertert
- kunne
- kurs
- dekke
- cricket
- Gjeldende
- I dag
- forsinkelse
- enhet
- Dialog
- Vise
- ikke
- nedlasting
- innsats
- elleve
- nok
- entusiaster
- Miljø
- Tilsvarende
- Selv
- alles
- Unntatt
- forvente
- Exploit
- Exploited
- exploits
- langt
- gjennomførbart
- Egenskaper
- tenkte
- filet
- Filer
- Firefox
- fikset
- Til
- funnet
- frossen
- få
- gitt
- Google Play
- innvilget
- Ha
- høyde
- Høy
- hit
- Holes
- hover
- Hvordan
- Hvordan
- HTML
- HTTPS
- in
- inkluderer
- Inkludert
- individuelt
- interessant
- IT
- varer
- Keen
- Vet
- kjent
- lander
- laptop
- føre
- Life
- i likhet med
- grenser
- linux
- lokal
- Lang
- ser
- UTSEENDE
- mac
- maker
- GJØR AT
- manuelt
- Margin
- max bredde
- Middle
- kunne
- feil
- Mobil
- mobilenhet
- Måned
- Mozilla
- navn
- nemlig
- Ny
- Nye funksjoner
- normal
- spesielt
- bemerket
- tall
- mange
- of
- on
- ONE
- åpnet
- rekkefølge
- Annen
- ellers
- Patches
- paul
- tillatelse
- tillatelser
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- PoC
- posisjon
- mulig
- innlegg
- potensielt
- formål
- tilfeldig
- heller
- ekte
- ekte liv
- slipp
- Utgivelser
- løst
- Kjør
- Sikkerhet
- samme
- Spar
- sikkerhet
- se
- synes
- Sees
- syv
- delt
- Kort
- Vis
- Viser
- sidelengs
- siden
- SIX
- Sneaky
- So
- så langt
- solid
- noen
- spesielt
- Sport
- Stopp
- oppbevare
- slik
- medfølgende
- støtte
- SVG
- system
- Te
- Det
- De
- Dem
- derfor
- Disse
- tre
- Gjennom
- tid
- til
- topp
- overgang
- gjennomsiktig
- problemer
- typisk
- Oppdater
- URL
- bruke
- Bruker
- Brukere
- vanligvis
- variabler
- versjon
- Sikkerhetsproblemer
- sårbarhet
- vente
- venter
- ønsket
- Vei..
- webkamera
- Nettsted
- VI VIL
- hvilken
- vil
- vinduer
- med
- innenfor
- uten
- ville
- Din
- zephyrnet