Firefox 111'de 11 Delik Yaması Var, Ancak Bunların Arasında 1 Sıfır Gün Yok...

Plato tarafından yeniden yayınlandı

İzleyiciler: 0

Kriketi duydunuz mu (böcek değil spor)?

Vurucuların topa istedikleri yerde, geriye veya yana doğru da dahil olmak üzere vurabilmeleri dışında, beyzbola çok benzer; atıcılar, 20 dakikalık bir all-in kavgası başlatmadan vurucuya kasıtlı olarak topla vurabilirler (tabii ki belirli güvenlik sınırları dahilinde - aksi takdirde kriket olmazdı); neredeyse her zaman öğleden sonra çay ve kek için bir mola verilir; ve topa yeterince yükseğe ve uzağa vurduğunuz sürece bir seferde altı tur atabilirsiniz (atıcı da hata yaparsa yedi).

Kriket tutkunlarının bildiği gibi, 111 koşu, çoğu kişi tarafından uğursuz kabul edilen batıl bir skordur; kriketçinin eşdeğeri. Macbeth bir aktöre.

olarak bilinir Nelson, aslında kimse nedenini bilmiyor gibi görünse de.

Bu nedenle bugün Firefox'un 111.0 sürümüyle birlikte Nelson sürümü çıkıyor, ancak bunda uğursuz bir şey yok gibi görünüyor.

.s-button+.s-button { sol kenar boşluğu: .3125rem; } .s-düğmesi { geçiş: tümü .15s doğrusal; yazı tipi boyutu: .875rem; satır yüksekliği: 1.5; renk: #f2f2f2; yazı tipi ailesi: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; yazı tipi ağırlığı: 400; yazı tipi stili: normal; ekran: satır içi blok; dolgu: .3125rem 1.25rem; imleç: işaretçi; metin hizalama: merkez; metin-dekorasyon: yok; kenarlık: 1 piksel katı #005bc8; sınır yarıçapı: 3 piksel; arka plan rengi: #005bc8; metin gölgesi: yok; } .s-button:hover { metin-dekorasyonu: yok; renk: #fff; kenarlık rengi: #002d62; arka plan rengi: #002d62; } .s-button–beyaz, .s-button–white:hover { color: #005bc8 !important; kenarlık rengi: #fff; arka plan rengi: #fff; } .s-ad-sophos-mdr { yazı tipi boyutu: 1rem; satır yüksekliği: 1.5; renk: #242629; yazı tipi ailesi: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; yazı tipi ağırlığı: 400; yazı tipi stili: normal; pozisyon: göreceli; maksimum genişlik: 769 piksel; kenar boşluğu: 15 piksel otomatik; dolgu: 30 piksel 30 piksel 25 piksel; geçiş: kutu-gölge .25s kübik-bezier( .645, .045, .355, 1 ); metin hizalama: merkez; arka plan rengi: #0d141d; arka plan tekrarı: tekrar yok; arka plan konumu: %50; arka plan boyutu: kapak; kutu-gölge: 0 0 0 0 0 şeffaf; arka plan rengi: #005bc8; arka plan resmi: yok; arka plan konumu: 0 0; } .s-ad-sophos-mdr__title { yazı tipi boyutu: 2rem; satır yüksekliği: 1.125; kenar boşluğu-alt: 4 piksel; renk: #fff; } .s-ad-sophos-mdr__text { yazı tipi ailesi: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; yazı tipi ağırlığı: 400; yazı tipi stili: normal; yazı tipi boyutu: 17 piksel; renk: #fff; } .s-ad-sophos-mdr__action { üst kenar boşluğu: 15 piksel; } .s-ad-sophos-mdr__action .s-düğmesi { renk: #fff; } .s-ad-sophos-mdr__link-wrapper { metin-dekorasyon: yok; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { kutu gölgesi: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { pozisyon: mutlak; üst: 15 piksel; sağ: 15 piksel; } .s-ad-sophos-mdr__sophos-logo-svg { görüntüleme: satır içi blok; genişlik: 64 piksel; yükseklik: 11 piksel; dikey hizalama: üst; arka plan tekrarı: tekrar yok; arka plan boyutu: 64px 11px; } .s-ad-sophos-mdr__title { yazı tipi ailesi: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; yazı tipi ağırlığı: 400; yazı tipi stili: normal; yazı tipi boyutu: 28 piksel; yazı tipi ağırlığı: 700; satır yüksekliği: 1; kenar boşluğu-alt: 10 piksel; metin hizalama: sola; } .s-ad-sophos-mdr__title svg { maksimum genişlik: %100; } .s-ad-sophos-mdr__text { yazı tipi boyutu: 16 piksel; satır yüksekliği: 1.25; metin hizalama: sola; } .s-ad-sophos-mdr__action { metin hizalama: sağa; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { pozisyon: mutlak; sağ: 30 piksel; alt: 30 piksel; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { yazı tipi boyutu: 1.625rem; } .s-ad-sophos-mdr__text { yazı tipi boyutu: 16 piksel; } .s-ad-sophos-mdr { padding-top: 30px; } }

On bir ayrı yama ve iki yama grubu

Her zaman olduğu gibi, güncellemede, Mozilla'nın, bir kavram kanıtı (PoC) istismarının mümkün olup olmadığını görmek için beklemeden otomatik olarak bulunan ve yamalanan potansiyel olarak istismar edilebilir hatalara yönelik birleşik CVE güvenlik açığı numaraları da dahil olmak üzere çok sayıda güvenlik yaması vardır:

CVE-2023-28176: Firefox 111 ve Firefox ESR 102.9'da bellek güvenliği hataları düzeltildi. Bu hatalar, mevcut sürüm (yeni özellikler içeren) ile ESR sürümü arasında paylaşıldı. genişletilmiş destek sürümü (güvenlik düzeltmeleri uygulandı, ancak dokuz sürüm önceki 102 sürümünden bu yana donmuş yeni özelliklerle).
CVE-2023-28177: Bellek güvenliği hataları yalnızca Firefox 111'de düzeltildi. Eski ESR kod tabanında görünmedikleri göz önüne alındığında, bu hatalar neredeyse kesinlikle yalnızca yeni özellikler getiren yeni kodda var.

Bu böcek torbaları derecelendirildi Yüksek ziyade Kritik.

Mozilla, "yeterli çabayla bunlardan bazılarının keyfi kod çalıştırmak için kullanıldığını varsayıyoruz" diyor, ancak henüz kimse bunun nasıl yapılacağını veya bu tür istismarların mümkün olup olmadığını çözemedi.

Bu ayki diğer on bir CVE numaralı hatanın hiçbiri daha kötü değildi. Yüksek; bunlardan üçü yalnızca Android için Firefox için geçerlidir; ve henüz hiç kimse (henüz bildiğimiz kadarıyla) gerçek hayatta nasıl kötüye kullanılacağını gösteren bir PoC istismarı bulamadı.

11 güvenlik açığı arasında oldukça ilginç iki güvenlik açığı ortaya çıkıyor:

CVE-2023-28161: Yerel bir dosyaya verilen tek seferlik izinler, aynı sekmede yüklenen diğer yerel dosyalara genişletildi. Bu hata ile, örneğin web kameranıza erişim isteyen yerel bir dosya (indirilmiş HTML içeriği gibi) açarsanız, daha sonra açtığınız diğer yerel dosyalar sihirli bir şekilde size sormadan bu erişim iznini devralır. Mozilla'nın belirttiği gibi, indirme dizininizdeki bir dizi öğeye bakıyorsanız bu soruna yol açabilir; göreceğiniz erişim izni uyarıları, dosyaları açma sıranıza bağlı olacaktır.
CVE-2023-28163: Windows Farklı Kaydet iletişim kutusu ortam değişkenlerini çözdü. Bu, başka bir keskin hatırlatma girişlerinizi sterilize edin, söylemek istediğimiz gibi. Windows komutlarında, bazı karakter dizileri özel olarak ele alınır, örneğin: %USERNAME%, o anda oturum açmış olan kullanıcının adına dönüştürülür veya %PUBLIC%, genellikle paylaşılan bir dizini ifade eder C:Users. Sinsi bir web sitesi bunu, zararsız görünen ancak beklemeyeceğiniz bir dizine (ve daha sonra sona erdiğini fark etmeyeceğiniz bir yere) inen bir dosya adının indirilmesini görmeniz ve onaylamanız için sizi kandırmanın bir yolu olarak kullanabilir.

Ne yapalım?

Çoğu Firefox kullanıcısı güncellemeyi otomatik olarak alır, genellikle herkesin bilgisayarının aynı anda indirmesini durdurmak için rastgele bir gecikmeden sonra...

…ancak manuel olarak kullanarak beklemeyi önleyebilirsiniz. Destek > Hakkımızda (Ya da Firefox > Firefox Hakkında Mac'te) bir dizüstü bilgisayarda veya bir mobil cihazda bir App Store veya Google Play güncellemesini zorlayarak.

(Bir Linux kullanıcısıysanız ve Firefox, dağıtımınızın üreticisi tarafından sağlanıyorsa, yeni sürümün olup olmadığını kontrol etmek için bir sistem güncellemesi yapın.)