Firefox 111 korrigerar 11 hål, men inte 1 nolldag bland dem...

Hört talas om cricket (sporten, inte insekten)?

Det är ungefär som baseboll, förutom att slagare kan slå bollen var de vill, inklusive bakåt eller i sidled; bowlare kan slå smeten med bollen med avsikt (inom vissa säkerhetsgränser, förstås – det skulle bara inte vara cricket annars) utan att starta ett 20-minuters all-in-bråk; det finns nästan alltid en paus mitt på eftermiddagen för te och kaka; och du kan få sex runs åt gången så länge du slår bollen tillräckligt högt och tillräckligt långt (sju om bowlaren också gör ett misstag).

Tja, som cricketentusiaster vet är 111 runs en vidskeplig poäng, som anses vara olönsam av många – cricketspelarens motsvarighet till Macbeth till en skådespelare.

Det är känt som en nelson, även om ingen faktiskt verkar veta varför.

Idag släpps därför Firefoxs Nelson, med version 111.0 som kommer ut, men det verkar inte finnas något ofördelaktigt med denna.

Elva individuella lappar och två satser av lappar

Som vanligt finns det många säkerhetskorrigeringar i uppdateringen, inklusive Mozillas vanliga combo-CVE sårbarhetsnummer för potentiellt exploateringsbara buggar som hittades automatiskt och korrigerades utan att vänta för att se om en proof-of-concept (PoC) exploatering var möjlig:

• CVE-2023-28176: Minnessäkerhetsbuggar fixade i Firefox 111 och Firefox ESR 102.9. Dessa buggar delades mellan den nuvarande versionen (som innehåller nya funktioner) och ESR-versionen, förkortning för utökad supportversion (säkerhetskorrigeringar tillämpas, men med nya funktioner frysta sedan version 102, för nio utgåvor sedan).
• CVE-2023-28177: Minnessäkerhetsbuggar fixade endast i Firefox 111. Dessa buggar existerar nästan säkert bara i ny kod som förde in nya funktioner, med tanke på att de inte dök upp i den äldre ESR-kodbasen.

Dessa påsar med buggar har betygsatts Hög snarare än Kritisk.

Mozilla medger att "vi antar att med tillräcklig ansträngning kunde några av dessa ha utnyttjats för att köra godtycklig kod", men ingen har ännu kommit på hur man gör det, eller ens om sådana utnyttjanden är möjliga.

Ingen av de andra elva CVE-numrerade buggarna denna månad var värre än Hög; tre av dem gäller endast Firefox för Android; och ingen har ännu (såvitt vi vet ännu) kommit på en PoC-utnyttja som visar hur man missbrukar dem i verkligheten.

Två särskilt intressanta sårbarheter förekommer bland de 11, nämligen:

• CVE-2023-28161: Engångsbehörigheter som beviljats ​​en lokal fil utökades till andra lokala filer som laddades på samma flik. Med det här felet, om du öppnade en lokal fil (som nedladdat HTML-innehåll) som ville ha åtkomst till exempelvis din webbkamera, då skulle alla andra lokala filer som du öppnade efteråt på magiskt sätt ärva den åtkomstbehörigheten utan att fråga dig. Som Mozilla noterade kan detta leda till problem om du letade igenom en samling objekt i din nedladdningskatalog – varningarna för åtkomstbehörighet du skulle se beror på i vilken ordning du öppnade filerna.
• CVE-2023-28163: Windows Spara som dialogruta lösta miljövariabler. Detta är ytterligare en angelägen påminnelse till sanera dina ingångar, som vi gärna säger. I Windows-kommandon behandlas vissa teckensekvenser speciellt, som t.ex %USERNAME%, som konverteras till namnet på den för närvarande inloggade användaren, eller %PUBLIC%, som betecknar en delad katalog, vanligtvis i C:Users. En lömsk webbplats kan använda detta som ett sätt att lura dig att se och godkänna nedladdningen av ett filnamn som ser ofarligt ut men som hamnar i en katalog du inte förväntar dig (och där du kanske inte senare inser att det hade hamnat).

Vad göra?

De flesta Firefox-användare kommer att få uppdateringen automatiskt, vanligtvis efter en slumpmässig fördröjning för att stoppa allas datorer att ladda ner i samma ögonblick...

…men du kan undvika väntan genom att manuellt använda Hjälp > Om oss (eller firefox > Om Firefox på en Mac) på en bärbar dator eller genom att tvinga fram en uppdatering av App Store eller Google Play på en mobil enhet.

(Om du är en Linux-användare och Firefox levereras av tillverkaren av din distro, gör en systemuppdatering för att kontrollera om den nya versionen är tillgänglig.)

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Källa: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/