Firefox 111 vá 11 lỗ hổng, nhưng không có lỗ hổng nào trong số đó…

Firefox 111 vá 11 lỗ hổng, nhưng không có lỗ hổng nào trong số đó…

Dấu thời gian: Ngày 14 tháng 2023 năm 1 16:XNUMX CH
Nút nguồn: 2009307
by Paul Ducklin

Bạn đã nghe nói về dế (môn thể thao chứ không phải côn trùng)?

Nó giống như bóng chày, ngoại trừ việc người đánh bóng có thể đánh bóng ở bất cứ đâu họ muốn, kể cả về phía sau hoặc sang một bên; Người chơi ném bóng có thể cố ý đánh người đánh bóng bằng bóng (tất nhiên là trong giới hạn an toàn nhất định - nếu không thì đó sẽ không phải là môn cricket) mà không cần bắt đầu một cuộc ẩu đả kéo dài 20 phút; hầu như luôn có thời gian nghỉ giữa buổi để uống trà và bánh ngọt; và bạn có thể ghi sáu lần chạy cùng một lúc miễn là bạn đánh bóng cao và đủ xa (bảy nếu người ném bóng cũng mắc lỗi).

Chà, như những người đam mê môn cricket đã biết, 111 lần chạy là một số điểm mê tín, được nhiều người coi là không tốt - tương đương với số điểm của người chơi cricket. Macbeth tới một diễn viên.

Nó được biết đến như một Nelson, mặc dù dường như không ai thực sự biết tại sao.

Do đó, hôm nay chứng kiến ​​bản phát hành Nelson của Firefox, với phiên bản 111.0 sắp ra mắt, nhưng dường như không có điều gì xấu về phiên bản này.

Mười một bản vá riêng lẻ và hai bản vá lỗi

Như thường lệ, có rất nhiều bản vá bảo mật trong bản cập nhật, bao gồm số lỗ hổng combo-CVE thông thường của Mozilla dành cho các lỗi có thể khai thác được, được tìm thấy tự động và vá mà không cần chờ xem liệu có thể khai thác bằng chứng khái niệm (PoC) hay không:

  • CVE-2023-28176: Đã sửa lỗi an toàn bộ nhớ trong Firefox 111 và Firefox ESR 102.9. Những lỗi này được chia sẻ giữa phiên bản hiện tại (bao gồm các tính năng mới) và phiên bản ESR, viết tắt của phát hành hỗ trợ mở rộng (Đã áp dụng các bản sửa lỗi bảo mật nhưng các tính năng mới bị đóng băng kể từ phiên bản 102, chín bản phát hành trước).
  • CVE-2023-28177: Lỗi an toàn bộ nhớ chỉ được sửa trong Firefox 111. Những lỗi này gần như chắc chắn chỉ tồn tại trong mã mới mang lại các tính năng mới, vì chúng không xuất hiện trong cơ sở mã ESR cũ hơn.

Những túi lỗi này đã được xếp hạng Cao chứ không phải là Quan trọng.

Mozilla thừa nhận rằng “chúng tôi cho rằng với đủ nỗ lực, một số trong số này có thể đã bị khai thác để chạy mã tùy ý”, nhưng vẫn chưa ai tìm ra cách thực hiện điều đó hoặc ngay cả khi việc khai thác đó có khả thi hay không.

Không có lỗi nào trong số 11 lỗi được đánh số CVE khác trong tháng này tệ hơn cả. Cao; ba trong số đó chỉ áp dụng cho Firefox dành cho Android; và chưa có ai (theo những gì chúng tôi biết) nghĩ ra cách khai thác PoC chỉ ra cách lạm dụng chúng trong đời thực.

Hai lỗ hổng thú vị đáng chú ý xuất hiện trong số 11 lỗ hổng đó là:

  • CVE-2023-28161: Quyền một lần được cấp cho tệp cục bộ đã được mở rộng sang các tệp cục bộ khác được tải trong cùng một tab. Với lỗi này, nếu bạn mở một tệp cục bộ (chẳng hạn như nội dung HTML đã tải xuống) muốn truy cập vào webcam của bạn thì bất kỳ tệp cục bộ nào khác mà bạn mở sau đó sẽ kế thừa quyền truy cập đó một cách kỳ diệu mà không cần hỏi bạn. Như Mozilla đã lưu ý, điều này có thể dẫn đến rắc rối nếu bạn đang xem qua bộ sưu tập các mục trong thư mục tải xuống của mình – cảnh báo về quyền truy cập mà bạn thấy sẽ phụ thuộc vào thứ tự bạn mở tệp.
  • CVE-2023-28163: Hộp thoại Windows Save As đã giải quyết các biến môi trường. Đây là một lời nhắc nhở sâu sắc khác đối với vệ sinh đầu vào của bạn, như chúng tôi muốn nói. Trong các lệnh Windows, một số chuỗi ký tự được xử lý đặc biệt, chẳng hạn như %USERNAME%, được chuyển đổi thành tên của người dùng hiện đang đăng nhập hoặc %PUBLIC%, biểu thị một thư mục dùng chung, thường ở dạng C:Users. Một trang web lén lút có thể sử dụng điều này như một cách để lừa bạn xem và phê duyệt việc tải xuống một tên tệp trông có vẻ vô hại nhưng lại rơi vào một thư mục mà bạn không mong đợi (và nơi mà sau này bạn có thể không nhận ra rằng nó đã nằm ở đó).

Phải làm gì?

Hầu hết người dùng Firefox sẽ nhận được bản cập nhật tự động, thường là sau một khoảng thời gian trì hoãn ngẫu nhiên để máy tính của mọi người ngừng tải xuống cùng một lúc…

…nhưng bạn có thể tránh phải chờ đợi bằng cách sử dụng thủ công Trợ giúp > Giới thiệu (Hoặc Firefox > Về Firefox trên máy Mac) trên máy tính xách tay hoặc bằng cách buộc cập nhật App Store hoặc Google Play trên thiết bị di động.

(Nếu bạn là người dùng Linux và Firefox được nhà sản xuất bản phân phối của bạn cung cấp, hãy cập nhật hệ thống để kiểm tra tính khả dụng của phiên bản mới.)

Dấu thời gian:

Thêm từ An ninh trần trụi