Firefox 111 popravi 11 lukenj, vendar ne ene ničelne med njimi...

Ste slišali za kriket (šport, ne žuželko)?

Podobno je kot bejzbol, le da lahko udarci udarjajo žogo, kamor hočejo, tudi nazaj ali vstran; kegljači lahko z žogo namenoma udarjajo po udarcu (seveda v določenih varnostnih mejah – drugače to ne bi bil kriket), ne da bi sprožili 20-minutno pretepanje all-in; sredi popoldneva je skoraj vedno odmor za čaj in pecivo; in lahko dosežete šest tekov naenkrat, če žogo udarite visoko in dovolj daleč (sedem, če se tudi kegljač zmoti).

Well, as cricket enthusiasts know, 111 runs is a superstitious score, considered unauspicious by many – the cricketer’s equivalent of Macbeth igralcu.

Znan je kot a Nelson, čeprav se zdi, da pravzaprav nihče ne ve zakaj.

Today therefore sees Firefox’s Nelson release, with version 111.0 coming out, but there doesn’t seem to be anything unauspicious about this one.

Enajst posameznih popravkov in dva sklopa popravkov

Kot običajno so v posodobitvi številni varnostni popravki, vključno z Mozillinimi običajnimi številkami ranljivosti combo-CVE za potencialno izkoriščene hrošče, ki so bili samodejno najdeni in popravljeni, ne da bi čakali, da bi ugotovili, ali je možno izkoriščanje proof-of-concept (PoC):

• CVE-2023-28176: Varnostne napake pomnilnika so odpravljene v Firefoxu 111 in Firefoxu ESR 102.9. Te napake sta si delili trenutna različica (ki vključuje nove funkcije) in različica ESR, okrajšava za izdaja razširjene podpore (varnostni popravki so uporabljeni, vendar z novimi funkcijami zamrznjenimi od različice 102, pred devetimi izdajami).
• CVE-2023-28177: Varnostne napake v pomnilniku so odpravljene samo v Firefoxu 111. Te napake skoraj zagotovo obstajajo samo v novi kodi, ki je prinesla nove funkcije, glede na to, da se niso pojavile v starejši kodni bazi ESR.

Te vrečke z žuželkami so bile ocenjene visoka ne Kritično.

Mozilla priznava, da "predvidevamo, da bi z dovolj truda nekatere od teh lahko izkoristili za zagon poljubne kode", vendar še nihče ni ugotovil, kako to storiti, ali celo, če so takšni izkoriščanji izvedljivi.

Nobena od ostalih enajstih hroščev s številko CVE ta mesec ni bila hujša visoka; tri od njih veljajo samo za Firefox za Android; in nihče še ni (kolikor še vemo) prišel do izkoriščanja PoC, ki bi pokazal, kako jih zlorabiti v resničnem življenju.

Med 11 se pojavljata dve izjemno zanimivi ranljivosti, in sicer:

• CVE-2023-28161: Enkratna dovoljenja, dodeljena lokalni datoteki, so bila razširjena na druge lokalne datoteke, naložene na istem zavihku. S to napako, če ste odprli lokalno datoteko (na primer preneseno vsebino HTML), ki je želela dostop, recimo, do vaše spletne kamere, bi katera koli druga lokalna datoteka, ki bi jo odprli pozneje, čudežno podedovala to dovoljenje za dostop, ne da bi vas vprašala. Kot je opazila Mozilla, bi to lahko povzročilo težave, če bi iskali zbirko elementov v vašem imeniku za prenos – opozorila o dovoljenju za dostop, ki bi jih videli, bi bila odvisna od vrstnega reda, v katerem ste odprli datoteke.
• CVE-2023-28163: Pogovorno okno Windows Shrani kot razreši spremenljivke okolja. To je še en močan opomnik očistite svoje vnose, kot radi rečemo. V Windows ukazih se nekatera zaporedja znakov obravnavajo posebej, kot npr %USERNAME%, ki se pretvori v ime trenutno prijavljenega uporabnika, oz %PUBLIC%, ki označuje skupni imenik, običajno v C:Users. Zahrbtno spletno mesto bi to lahko uporabilo kot način, da vas zavede, da vidite in odobrite prenos imena datoteke, ki je videti neškodljivo, vendar pristane v imeniku, ki ga ne bi pričakovali (in kjer morda pozneje ne boste ugotovili, da je končalo).

Kaj storiti?

Večina uporabnikov Firefoxa bo samodejno prejela posodobitev, običajno po naključnem zamiku, da preprečijo nalaganje vseh računalnikov v istem trenutku ...

...vendar se lahko čakanju izognete z ročno uporabo pomaga > O meni (ali Firefox > O Firefox na Macu) na prenosnem računalniku ali tako, da vsilite posodobitev App Store ali Google Play na mobilni napravi.

(Če ste uporabnik Linuxa in Firefox ponuja izdelovalec vaše distribucije, izvedite posodobitev sistema, da preverite, ali je na voljo nova različica.)

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/