Firefox 111 retter 11 hull, men ikke 1 null-dag blant dem...

Hørt om cricket (sporten, ikke insektet)?

Det er omtrent som baseball, bortsett fra at battere kan slå ballen hvor de vil, inkludert bakover eller sidelengs; bowlere kan slå slageren med ballen med vilje (innenfor visse sikkerhetsgrenser, selvfølgelig – det ville bare ikke vært cricket ellers) uten å starte en 20-minutters all-in-kamp; det er nesten alltid en pause midt på ettermiddagen for te og kake; og du kan score seks løp om gangen så lenge du slår ballen høyt og langt nok (sju hvis bowleren også gjør en feil).

Vel, som cricket-entusiaster vet, er 111 løp en overtroisk poengsum, ansett som uheldig av mange – cricketspillerens ekvivalent til Macbeth til en skuespiller.

Det er kjent som en Nelson, selv om ingen faktisk ser ut til å vite hvorfor.

I dag ser derfor Firefox sin Nelson utgivelse, med versjon 111.0 som kommer ut, men det ser ikke ut til å være noe uheldig med denne.

Elleve individuelle lapper og to lapper

Som vanlig er det mange sikkerhetsoppdateringer i oppdateringen, inkludert Mozillas vanlige combo-CVE sårbarhetsnumre for potensielt utnyttbare feil som ble funnet automatisk og lappet uten å vente for å se om en proof-of-concept (PoC) utnyttelse var mulig:

• CVE-2023-28176: Minnesikkerhetsfeil fikset i Firefox 111 og Firefox ESR 102.9. Disse feilene ble delt mellom den nåværende versjonen (som inkluderer nye funksjoner) og ESR-versjonen, en forkortelse for utvidet støtteutgivelse (sikkerhetsreparasjoner brukt, men med nye funksjoner frosset siden versjon 102, for ni utgivelser siden).
• CVE-2023-28177: Minnesikkerhetsfeil fikset kun i Firefox 111. Disse feilene eksisterer nesten helt sikkert bare i ny kode som brakte inn nye funksjoner, gitt at de ikke dukket opp i den eldre ESR-kodebasen.

Disse posene med insekter har blitt vurdert Høy snarere enn Kritisk.

Mozilla innrømmer at "vi antar at med nok innsats kunne noen av disse blitt utnyttet til å kjøre vilkårlig kode", men ingen har ennå funnet ut hvordan man gjør det, eller til og med om slike utnyttelser er gjennomførbare.

Ingen av de andre elleve CVE-nummererte feilene denne måneden var verre enn Høy; tre av dem gjelder kun Firefox for Android; og ingen har ennå (så vidt vi vet ennå) kommet opp med en PoC-utnyttelse som viser hvordan man kan misbruke dem i det virkelige liv.

To spesielt interessante sårbarheter dukker opp blant de 11, nemlig:

• CVE-2023-28161: Engangstillatelser gitt til en lokal fil ble utvidet til andre lokale filer lastet i samme fane. Med denne feilen, hvis du åpnet en lokal fil (som nedlastet HTML-innhold) som ønsket tilgang, for eksempel, til webkameraet ditt, ville enhver annen lokal fil du åpnet etterpå på magisk vis arve tilgangstillatelsen uten å spørre deg. Som Mozilla bemerket, kan dette føre til problemer hvis du ser gjennom en samling av elementer i nedlastingskatalogen din – advarslene om tilgangstillatelse du vil se vil avhenge av rekkefølgen du åpnet filene i.
• CVE-2023-28163: Windows Lagre som-dialogen løste miljøvariabler. Dette er nok en ivrig påminnelse til rense innspillene dine, som vi liker å si. I Windows-kommandoer behandles enkelte tegnsekvenser spesielt, som f.eks %USERNAME%, som blir konvertert til navnet på den påloggede brukeren, eller %PUBLIC%, som angir en delt katalog, vanligvis i C:Users. Et lurt nettsted kan bruke dette som en måte å lure deg til å se og godkjenne nedlastingen av et filnavn som ser ufarlig ut, men som lander i en katalog du ikke forventer (og hvor du kanskje ikke senere innser at det hadde havnet).

Hva gjør jeg?

De fleste Firefox-brukere vil få oppdateringen automatisk, vanligvis etter en tilfeldig forsinkelse for å stoppe alles datamaskin nedlasting i samme øyeblikk...

…men du kan unngå ventetiden ved å bruke manuelt Hjelp > Om oss (eller Firefox > Om Firefox på en Mac) på en bærbar datamaskin, eller ved å tvinge en App Store- eller Google Play-oppdatering på en mobilenhet.

(Hvis du er en Linux-bruker og Firefox er levert av produsenten av distroen din, gjør en systemoppdatering for å sjekke tilgjengeligheten til den nye versjonen.)

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/