Firefox 111 corectează 11 găuri, dar nu o zi zero dintre ele...

Ai auzit de cricket (sport, nu insectă)?

Seamănă mult cu baseballul, cu excepția faptului că baterii pot lovi mingea oriunde doresc, inclusiv înapoi sau lateral; bowlierii pot lovi batuta cu mingea intenționat (în anumite limite de siguranță, desigur – pur și simplu nu ar fi cricket altfel) fără a începe o ceartă all-in de 20 de minute; este aproape întotdeauna o pauză la mijlocul după-amiezii pentru ceai și prăjitură; și poți înscrie șase runde la un moment dat atâta timp cât lovești mingea suficient de sus și de departe (șapte dacă melonul greșește și el).

Well, as cricket enthusiasts know, 111 runs is a superstitious score, considered unauspicious by many – the cricketer’s equivalent of Macbeth unui actor.

Este cunoscut ca a Nelson, deși nimeni nu pare să știe de fapt de ce.

Today therefore sees Firefox’s Nelson release, with version 111.0 coming out, but there doesn’t seem to be anything unauspicious about this one.

Unsprezece plasturi individuale și două loturi de plasturi

Ca de obicei, există numeroase corecții de securitate în actualizare, inclusiv numerele obișnuite de vulnerabilități combo-CVE ale Mozilla pentru erori potențial exploatabile, care au fost găsite automat și corectate fără a aștepta să vedem dacă a fost posibilă o exploatare de tip proof-of-concept (PoC):

• CVE-2023-28176: S-au remediat erori de siguranță ale memoriei în Firefox 111 și Firefox ESR 102.9. Aceste erori au fost împărtășite între versiunea actuală (care include funcții noi) și versiunea ESR, prescurtarea de la eliberare de asistență extinsă (s-au aplicat remedieri de securitate, dar cu funcții noi înghețate începând cu versiunea 102, acum nouă versiuni).
• CVE-2023-28177: Erori de siguranță ale memoriei au fost remediate numai în Firefox 111. Aceste erori există aproape sigur doar în codul nou care a adus funcții noi, având în vedere că nu au apărut în baza de cod ESR mai veche.

Aceste pungi de insecte au fost evaluate Înalt mai degrabă decât Critic.

Mozilla admite că „presupunem că, cu suficient efort, unele dintre acestea ar fi putut fi exploatate pentru a rula cod arbitrar”, dar nimeni nu și-a dat seama încă cum să facă acest lucru sau chiar dacă astfel de exploatări sunt fezabile.

Niciunul dintre celelalte unsprezece erori cu numere CVE din această lună nu a fost mai rău decât Înalt; trei dintre ele se aplică numai pentru Firefox pentru Android; și nimeni nu a inventat încă (din câte știm încă) un exploit PoC care să arate cum să abuzezi de ele în viața reală.

Printre cele 11 apar două vulnerabilități deosebit de interesante și anume:

• CVE-2023-28161: Permisiunile unice acordate unui fișier local au fost extinse la alte fișiere locale încărcate în aceeași filă. Cu această eroare, dacă ați deschis un fișier local (cum ar fi conținutul HTML descărcat) care dorea acces, de exemplu, la camera dvs. web, atunci orice alt fișier local pe care l-ați deschis ulterior ar moșteni în mod magic această permisiune de acces fără să vă întrebe. După cum a menționat Mozilla, acest lucru ar putea duce la probleme dacă ați căuta printr-o colecție de elemente din directorul de descărcare - avertismentele privind permisiunea de acces pe care le-ați vedea ar depinde de ordinea în care ați deschis fișierele.
• CVE-2023-28163: Fereastra de dialog Salvare ca a rezolvat variabilele de mediu. Acesta este un alt reamintire igienizează intrările tale, după cum ne place să spunem. În comenzile Windows, unele secvențe de caractere sunt tratate special, cum ar fi %USERNAME%, care este convertit în numele utilizatorului conectat în prezent sau %PUBLIC%, care denotă un director partajat, de obicei în C:Users. Un site web ascuns ar putea folosi acest lucru ca o modalitate de a vă păcăli să vedeți și să aprobe descărcarea unui nume de fișier care pare inofensiv, dar ajunge într-un director la care nu v-ați aștepta (și în care s-ar putea să nu vă dați seama mai târziu că a ajuns).

Ce să fac?

Majoritatea utilizatorilor Firefox vor primi actualizarea automat, de obicei după o întârziere aleatorie pentru a opri descărcarea computerului tuturor în același moment...

…dar puteți evita așteptarea utilizând manual Ajutor > Despre Noi (Sau Firefox > Despre Firefox pe un Mac) pe un laptop sau prin forțarea unei actualizări App Store sau Google Play pe un dispozitiv mobil.

(Dacă sunteți un utilizator Linux și Firefox este furnizat de producătorul distribuției dvs., faceți o actualizare de sistem pentru a verifica disponibilitatea noii versiuni.)

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
• Sursa: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/