Firefox 111 修补了 11 个漏洞，但其中没有 1 个零日……

听说过板球（这项运动，而不是昆虫）？

这很像棒球，只是击球手可以随心所欲地击球，包括向后或侧身； 投球手可以故意用球击打击球手（当然，在一定的安全范围内——否则就不是板球了），而无需开始 20 分钟的全面斗殴； 几乎总是在下午中间休息一下喝茶吃蛋糕； 只要您将球击得足够高和足够远，您就可以一次得分六分（如果投球手也犯了错误，则可以得分七分）。

好吧，正如板球爱好者所知，111 分是一个迷信的分数，被许多人认为是不吉利的——对于板球运动员来说，XNUMX 分相当于 “麦克白” 给一个演员。

它被称为 Nelson，尽管实际上似乎没有人知道为什么。

因此，今天 Firefox 的 Nelson 版本发布了，版本号为 111.0，但这个版本似乎并没有什么不吉利的地方。

十一个单独的补丁和两批补丁

与往常一样，更新中有许多安全补丁，包括 Mozilla 通常针对潜在可利用漏洞的组合 CVE 漏洞编号，这些漏洞会自动发现并修补，而无需等待查看是否可能进行概念验证 (PoC) 漏洞利用：

• CVE-2023-28176： Firefox 111 和 Firefox ESR 102.9 中修复的内存安全漏洞。 这些错误在当前版本（包括新功能）和 ESR 版本之间共享，ESR 版本是 扩展支持版本 （已应用安全修复程序，但自版本 102（九个版本之前）起冻结了新功能）。
• CVE-2023-28177： 仅在 Firefox 111 中修复了内存安全错误。 这些错误几乎肯定只存在于带来新功能的新代码中，因为它们没有出现在旧的 ESR 代码库中。

这些臭虫袋已被评为 高 而非 危急.

Mozilla 承认，“我们假设只要付出足够的努力，其中一些漏洞就可以被利用来运行任意代码”，但还没有人知道如何做到这一点，或者即使这样的利用是否可行。

本月其他 XNUMX 个 CVE 编号的漏洞没有一个更糟糕 高; 其中三个仅适用于 Firefox for Android； 目前还没有人（据我们所知）想出一个 PoC 漏洞来展示如何在现实生活中滥用它们。

这 11 个漏洞中出现了两个值得注意的漏洞，即：

• CVE-2023-28161： 授予本地文件的一次性权限已扩展到同一选项卡中加载的其他本地文件。 有了这个错误，如果你打开一个想要访问的本地文件（比如下载的 HTML 内容），比如说，你的网络摄像头，那么你之后打开的任何其他本地文件都会神奇地继承该访问权限，而无需询问你。 正如 Mozilla 指出的那样，如果您正在查看下载目录中的项目集合，这可能会导致麻烦——您看到的访问权限警告将取决于您打开文件的顺序。
• CVE-2023-28163： Windows 另存为对话框解决了环境变量。 这又是一个敏锐的提醒 清理你的输入，正如我们喜欢说的。 在 Windows 命令中，一些字符序列被特殊处理，例如 %USERNAME%，它被转换为当前登录用户的名称，或者 %PUBLIC%, 表示共享目录，通常在 C:Users. 一个偷偷摸摸的网站可能会以此为诱饵让您看到并批准下载一个看起来无害但位于您意想不到的目录中的文件名（您以后可能不会意识到它已经结束了）。

怎么办呢？

大多数 Firefox 用户会自动获得更新，通常是在随机延迟后停止每个人的计算机同时下载……

…但是您可以通过手动使用来避免等待 政策和帮助 > 关于 （或 火狐 > 关于Firefox 在 Mac 上）在笔记本电脑上，或者在移动设备上强制执行 App Store 或 Google Play 更新。

（如果您是 Linux 用户并且 Firefox 是由您的发行版制造商提供的，请执行系统更新以检查新版本的可用性。）

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/