Firefox 111 залачивает 11 дыр, но среди них нет 1 нулевого дня…

Слышали о крикете (спорт, а не насекомое)?

Это очень похоже на бейсбол, за исключением того, что отбивающие могут бить по мячу, где захотят, в том числе назад или вбок; боулеры могут намеренно ударить отбивающего мячом (конечно, в определенных пределах безопасности - иначе это был бы не крикет), не начав 20-минутную драку ва-банк; почти всегда в середине дня есть перерыв на чай с пирожными; и вы можете забить шесть пробежек за раз, если вы бьете по мячу достаточно высоко и достаточно далеко (семь, если боулер тоже ошибается).

Ну, как известно энтузиастам крикета, 111 пробежек — это суеверный счет, который многие считают неблагоприятным — эквивалент крикета Макбет актеру.

Он известен как нельсон, хотя никто на самом деле, кажется, не знает, почему.

Таким образом, сегодня мы видим выпуск Firefox Nelson с версией 111.0, но в этом нет ничего неблагоприятного.

Одиннадцать отдельных исправлений и две партии исправлений.

Как обычно, в обновлении есть множество исправлений безопасности, в том числе обычные номера уязвимостей Mozilla combo-CVE для потенциально пригодных для использования ошибок, которые были обнаружены автоматически и исправлены, не дожидаясь возможности проверки концепции (PoC):

• CVE-2023-28176: Исправлены ошибки безопасности памяти в Firefox 111 и Firefox ESR 102.9. Эти ошибки были разделены между текущей версией (которая включает новые функции) и версией ESR, сокращенно выпуск с расширенной поддержкой (применены исправления безопасности, но новые функции заморожены, начиная с версии 102, девять выпусков назад).
• CVE-2023-28177: Ошибки безопасности памяти исправлены только в Firefox 111. Эти ошибки почти наверняка существуют только в новом коде, в котором появились новые функции, учитывая, что они не появлялись в старой кодовой базе ESR.

Эти мешки с ошибками были оценены High , а не критический.

Mozilla признает, что «мы предполагаем, что при достаточном усилии некоторые из них могли бы быть использованы для запуска произвольного кода», но никто еще не понял, как это сделать, и даже если такие эксплойты осуществимы.

Ни одна из других одиннадцати ошибок с номером CVE в этом месяце не была хуже, чем High; три из них относятся только к Firefox для Android; и еще никто (насколько нам известно) не придумал PoC-эксплойт, показывающий, как злоупотреблять ими в реальной жизни.

Две особенно интересные уязвимости появляются среди 11, а именно:

• CVE-2023-28161: Разовые разрешения, предоставленные локальному файлу, были распространены на другие локальные файлы, загруженные на той же вкладке. С этой ошибкой, если вы открыли локальный файл (например, загруженный HTML-контент), которому требовался доступ, скажем, к вашей веб-камере, то любой другой локальный файл, который вы открыли впоследствии, волшебным образом унаследовал это разрешение на доступ, не спрашивая вас. Как отмечает Mozilla, это может привести к проблемам, если вы просматриваете коллекцию элементов в каталоге загрузки — предупреждения о правах доступа, которые вы увидите, будут зависеть от порядка, в котором вы открывали файлы.
• CVE-2023-28163: Диалог Windows «Сохранить как» разрешает переменные среды. Это еще одно острое напоминание о дезинфицировать свои входы, как мы любим говорить. В командах Windows некоторые последовательности символов обрабатываются особым образом, например %USERNAME%, которое преобразуется в имя текущего пользователя, вошедшего в систему, или %PUBLIC%, который обозначает общий каталог, обычно в C:Users. Подлый веб-сайт может использовать это как способ обманом заставить вас увидеть и одобрить загрузку имени файла, который выглядит безобидным, но попадает в каталог, который вы не ожидаете (и где вы, возможно, позже не поймете, что он оказался).

Что делать?

Большинство пользователей Firefox получат обновление автоматически, как правило, после случайной задержки, чтобы остановить загрузку на всех компьютерах в один и тот же момент…

… но вы можете избежать ожидания, вручную используя Документи > О нас (или Firefox > О Firefox на Mac) на ноутбуке или путем принудительного обновления App Store или Google Play на мобильном устройстве.

(Если вы пользователь Linux, а Firefox поставляется производителем вашего дистрибутива, выполните обновление системы, чтобы проверить доступность новой версии.)

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/