Słyszałeś o krykiecie (sporcie, a nie owadach)?
To bardzo przypomina baseball, z wyjątkiem tego, że pałkarze mogą uderzać piłkę, gdzie chcą, w tym do tyłu lub na boki; meloniki mogą celowo uderzać pałkarza piłką (oczywiście w pewnych granicach bezpieczeństwa – inaczej nie byłoby to po prostu krykietem) bez rozpoczynania 20-minutowej bójki all-in; prawie zawsze jest przerwa w środku popołudnia na herbatę i ciasto; i możesz zdobyć sześć obiegów na raz, o ile uderzysz piłkę wysoko i wystarczająco daleko (siedem, jeśli melonik również popełni błąd).
Cóż, jak wiedzą miłośnicy krykieta, 111 przebiegów to przesądny wynik, przez wielu uważany za niepomyślny – odpowiednik gry w krykieta Macbeth do aktora.
Jest znany jako Nelson, chociaż wydaje się, że nikt tak naprawdę nie wie, dlaczego.
W związku z tym dzisiaj wydano Firefoksa Nelson, wraz z wersją 111.0, ale nie wydaje się, aby było w tym coś niepomyślnego.
Jedenaście pojedynczych łatek i dwie partie łatek
Jak zwykle, w aktualizacji znajduje się wiele poprawek bezpieczeństwa, w tym typowe dla Mozilli numery luk w zabezpieczeniach typu combo-CVE dla potencjalnie możliwych do wykorzystania błędów, które zostały znalezione automatycznie i załatane bez czekania na sprawdzenie, czy exploit typu proof-of-concept (PoC) był możliwy:
- CVE-2023-28176: Naprawiono błędy bezpieczeństwa pamięci w przeglądarkach Firefox 111 i Firefox ESR 102.9. Te błędy były wspólne dla bieżącej wersji (która zawiera nowe funkcje) i wersji ESR, skrót od rozszerzona wersja wsparcia (zastosowano poprawki bezpieczeństwa, ale nowe funkcje zostały zamrożone od wersji 102, dziewięć wydań temu).
- CVE-2023-28177: Naprawiono błędy bezpieczeństwa pamięci tylko w Firefoksie 111. Te błędy prawie na pewno występują tylko w nowym kodzie, który przyniósł nowe funkcje, biorąc pod uwagę, że nie pojawiły się one w starszej bazie kodu ESR.
Te worki robaków zostały ocenione Wysoki zamiast Krytyczny.
Mozilla przyznaje, że „przypuszczamy, że przy wystarczającym wysiłku niektóre z nich mogłyby zostać wykorzystane do uruchomienia dowolnego kodu”, ale nikt jeszcze nie wymyślił, jak to zrobić, ani nawet czy takie exploity są wykonalne.
Żaden z pozostałych jedenastu błędów oznaczonych numerem CVE w tym miesiącu nie był gorszy Wysoki; trzy z nich dotyczą tylko Firefoksa dla Androida; i nikt jeszcze (o ile jeszcze wiemy) nie wymyślił exploita PoC, który pokazuje, jak wykorzystywać je w prawdziwym życiu.
Wśród 11 pojawiają się dwie szczególnie interesujące luki, a mianowicie:
- CVE-2023-28161: Jednorazowe uprawnienia przyznane plikowi lokalnemu zostały rozszerzone na inne pliki lokalne ładowane na tej samej karcie. W przypadku tego błędu, jeśli otworzyłeś plik lokalny (taki jak pobrana zawartość HTML), który chciał uzyskać dostęp, powiedzmy, do twojej kamery internetowej, to każdy inny plik lokalny, który później otworzyłeś, magicznie odziedziczyłby to uprawnienie dostępu bez pytania. Jak zauważyła Mozilla, może to prowadzić do kłopotów, jeśli przeglądasz kolekcję elementów w katalogu pobierania — ostrzeżenia o uprawnieniach dostępu, które zobaczysz, będą zależały od kolejności otwierania plików.
- CVE-2023-28163: Okno dialogowe Zapisz jako systemu Windows rozwiązało zmienne środowiskowe. To kolejne ważne przypomnienie oczyść swoje dane wejściowe, jak lubimy mówić. W poleceniach systemu Windows niektóre sekwencje znaków są traktowane w specjalny sposób, np
%USERNAME%, która jest konwertowana na nazwę aktualnie zalogowanego użytkownika, lub%PUBLIC%, który oznacza udostępniony katalog, zwykle wC:Users. Podstępna witryna internetowa może to wykorzystać jako sposób na nakłonienie Cię do zobaczenia i zatwierdzenia pobrania pliku o nazwie, która wygląda nieszkodliwie, ale ląduje w katalogu, którego byś się nie spodziewał (i gdzie możesz później nie zdać sobie sprawy, że się tam znalazł).
Co robić?
Większość użytkowników Firefoksa otrzyma aktualizację automatycznie, zwykle po losowym opóźnieniu, aby zatrzymać pobieranie wszystkich komputerów w tym samym momencie…
… ale możesz uniknąć czekania, używając ręcznie Pomoc > O nas (lub Firefox > O programie Firefox na komputerze Mac) na laptopie lub wymuszając aktualizację App Store lub Google Play na urządzeniu mobilnym.
(Jeśli jesteś użytkownikiem Linuksa, a Firefox jest dostarczany przez twórcę Twojej dystrybucji, przeprowadź aktualizację systemu, aby sprawdzić dostępność nowej wersji).
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/
- :Jest
- $W GÓRĘ
- 1
- 102
- 11
- 9
- a
- O nas
- bezwzględny
- nadużycie
- dostęp
- faktycznie
- Po
- Wszystkie kategorie
- zawsze
- wśród
- wśród
- i
- android
- Inne
- Aplikacja
- App Store
- zjawić się
- stosowany
- Aplikuj
- SĄ
- AS
- At
- autor
- samochód
- automatycznie
- dostępność
- uniknąć
- background-image
- piłka
- Baseball
- BE
- pomiędzy
- granica
- Dolny
- przerwa
- przyniósł
- Bug
- błędy
- by
- CAKE
- CAN
- Centrum
- pewien
- na pewno
- charakter
- ZOBACZ
- kod
- Kod źródłowy
- kolekcja
- kolor
- jak
- przyjście
- komputer
- za
- zawartość
- przeliczone
- mógłby
- kurs
- pokrywa
- krykiet
- Aktualny
- Obecnie
- opóźnienie
- urządzenie
- Dialog
- Wyświetlacz
- Nie
- pobieranie
- wysiłek
- jedenaście
- dość
- Miłośnicy
- Środowisko
- Równoważny
- Parzyste
- każdy jest
- Z wyjątkiem
- oczekiwać
- Wykorzystać
- eksploatowany
- exploity
- daleko
- wykonalny
- Korzyści
- wzorzysty
- filet
- Akta
- Firefox
- ustalony
- W razie zamówieenia projektu
- znaleziono
- zamrożone
- otrzymać
- dany
- Google play
- udzielony
- Have
- wysokość
- Wysoki
- Dobranie (Hit)
- Dziury
- unosić
- W jaki sposób
- How To
- HTML
- HTTPS
- in
- obejmuje
- Włącznie z
- indywidualny
- ciekawy
- IT
- szt
- Zapalony
- Wiedzieć
- znany
- Ziemie
- laptopa
- prowadzić
- życie
- lubić
- Limity
- linux
- miejscowy
- długo
- poszukuje
- WYGLĄD
- mac
- producent
- WYKONUJE
- ręcznie
- Margines
- Maksymalna szerokość
- Środkowy
- może
- błąd
- Aplikacje mobilne
- urządzenie przenośne
- Miesiąc
- Mozilla
- Nazwa
- mianowicie
- Nowości
- Nowe funkcje
- normalna
- szczególnie
- zauważyć
- z naszej
- liczny
- of
- on
- ONE
- otwierany
- zamówienie
- Inne
- Inaczej
- Łatki
- Paweł
- pozwolenie
- uprawnienia
- plato
- Analiza danych Platona
- PlatoDane
- Grać
- PoC
- position
- możliwy
- Wiadomości
- potencjalnie
- cel
- przypadkowy
- raczej
- real
- prawdziwe życie
- zwolnić
- prasowe
- zdecydowany
- run
- Bezpieczeństwo
- taki sam
- Zapisz
- bezpieczeństwo
- widzenie
- wydaje
- widzi
- siedem
- shared
- Short
- pokazać
- Targi
- bokiem
- ponieważ
- SIX
- Podstępny
- So
- dotychczas
- solidny
- kilka
- specjalnie
- Sport
- Stop
- sklep
- taki
- w zestawie
- wsparcie
- SVG
- system
- herbata
- że
- Połączenia
- Im
- w związku z tym
- Te
- trzy
- Przez
- czas
- do
- Top
- przejście
- przezroczysty
- kłopot
- zazwyczaj
- Aktualizacja
- URL
- posługiwać się
- Użytkownik
- Użytkownicy
- zazwyczaj
- zmienne
- wersja
- Luki w zabezpieczeniach
- wrażliwość
- czekać
- Czekanie
- poszukiwany
- Droga..
- webcam
- Strona internetowa
- DOBRZE
- który
- będzie
- okna
- w
- w ciągu
- bez
- by
- Twój
- zefirnet
