Firefox 111 виправляє 11 дірок, але не одну з них...

Чули про крикет (вид спорту, а не комах)?

Це дуже схоже на бейсбол, за винятком того, що ті, хто б’є, можуть бити м’яч куди завгодно, у тому числі назад чи вбік; боулери можуть навмисно бити м’ячем по б’ючому (звичайно, у певних межах безпеки – інакше це просто не був би крикет), не починаючи 20-хвилинної бійки олл-ін; майже завжди є перерва в середині дня на чай і тістечко; і ви можете забити шість пробіжок за один раз, якщо вдарите м’яч високо та достатньо далеко (сім, якщо гравець у котелок також помилиться).

Ну, як любителі крикету знають, 111 пробіжок — це забобонний рахунок, який багато хто вважає несприятливим — еквівалент гравця в крикет Макбет до актора.

Він відомий як a Нельсон, хоча насправді ніхто не знає, чому.

Таким чином, сьогодні виходить Firefox Nelson з версією 111.0, але, здається, у цьому немає нічого несприятливого.

Одинадцять окремих патчів і дві групи патчів

Як завжди, в оновленні є численні виправлення безпеки, включаючи звичайні номери вразливостей Mozilla combo-CVE для потенційно придатних для використання помилок, які були знайдені автоматично та виправлені, не чекаючи, щоб побачити, чи можливий експлойт proof-of-concept (PoC):

• CVE-2023-28176: Виправлено помилки безпеки пам’яті у Firefox 111 і Firefox ESR 102.9. Ці помилки були спільні між поточною версією (яка включає нові функції) та версією ESR, скорочено випуск розширеної підтримки (застосовано виправлення безпеки, але нові функції заморожені з версії 102, дев’ять випусків тому).
• CVE-2023-28177: Помилки безпеки пам’яті виправлено лише у Firefox 111. Ці помилки майже напевно існують лише в новому коді, який привніс нові функції, враховуючи, що вони не відображалися в старішій кодовій базі ESR.

Ці мішки з жуками були оцінені Високий а не Критичний.

Mozilla визнає, що «ми припускаємо, що, доклавши достатніх зусиль, деякі з них можна було б використати для запуску довільного коду», але ніхто ще не зрозумів, як це зробити, і навіть чи такі експлойти можливі.

Жодна з інших одинадцяти помилок із CVE цього місяця не була гіршою Високий; три з них застосовуються лише до Firefox для Android; і ще ніхто (наскільки ми знаємо) не придумав експлойта PoC, який показує, як зловживати ними в реальному житті.

Дві особливо цікаві вразливості з’являються серед 11, а саме:

• CVE-2023-28161: Одноразові дозволи, надані локальному файлу, поширювалися на інші локальні файли, завантажені на тій же вкладці. З цією помилкою, якщо ви відкрили локальний файл (наприклад, завантажений HTML-вміст), який хотів отримати доступ, скажімо, до вашої веб-камери, то будь-який інший локальний файл, який ви відкрили пізніше, чарівним чином успадкував би цей дозвіл на доступ, не запитуючи вас. Як зазначає Mozilla, це може призвести до проблем, якщо ви переглядаєте колекцію елементів у своєму каталозі завантажень – попередження про дозвіл доступу, які ви побачите, залежатимуть від порядку, у якому ви відкриваєте файли.
• CVE-2023-28163: Діалогове вікно Windows «Зберегти як» вирішує змінні середовища. Це ще одне гостре нагадування продезінфікуйте свої входи, як ми любимо говорити. У командах Windows деякі послідовності символів обробляються спеціально, наприклад %USERNAME%, яке перетворюється на ім’я поточного користувача, або %PUBLIC%, що позначає спільний каталог, зазвичай у C:Users. Прихований веб-сайт може використати це як спосіб обманом змусити вас побачити та схвалити завантаження імені файлу, який виглядає нешкідливим, але потрапляє в каталог, якого ви не очікуєте (і де ви пізніше можете не помітити, що він потрапив).

Що ж робити?

Більшість користувачів Firefox отримають оновлення автоматично, як правило, після випадкової затримки, щоб зупинити завантаження кожного комп’ютера в одну мить…

…але ви можете уникнути очікування, використовуючи вручну Документи > МЕНЮ (Або Firefox > Про Firefox на Mac) на ноутбуці або шляхом примусового оновлення App Store або Google Play на мобільному пристрої.

(Якщо ви користуєтеся Linux і Firefox надається виробником вашого дистрибутива, оновіть систему, щоб перевірити наявність нової версії.)

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/