Вчера един наш колега съобщи за намерени някои грешки които засягат всички версии на Firefox, защото в браузъра беше открита уязвимост от нулев ден и се използва активно в целенасочени атаки. Нарушението на сигурността беше разкрито чрез Project Zero на Google и засяга всички версии на Firefox.
Ден по-късно Mozilla отново моли всички потребители на браузъра да актуализират отново към нова превъзходна версия, която вече е пусната, това с причината, че в браузъра е открита втора уязвимост от нулев ден.
Втора грешка от нулев ден във Firefox
Mozilla пусна Firefox 67.0.4 за отстраняване на уязвимост сигурност, която е използвана при целенасочени атаки срещу фирми за криптовалута като Coinbase. Потребителите на Firefox трябва незабавно да инсталират тази актуализация.
Намира се зад Firefox 67.0.3 и 60.7.1, Пуснати са допълнителни коригиращи версии 67.0.4 и 60.7.2, елиминиращи уязвимостта на втория нулев ден (CVE-2019-11708), която позволява заобикаляне на механизма за изолиране на пясъчника на браузъра.
Проблемът позволява да се използва командната заявка, за да се отвори манипулирането на IPC повиквания за отваряне на уеб съдържание в детски процес, който не използва пясъчник.
В комбинация с друга уязвимост, този брой ви позволява да заобиколите всички нива на защита и организира изпълнението на кода в системата.
Преди да бъде поправен, уязвимостите, идентифицирани в последните две версии на Firefox Те бяха използвани за организиране на атака срещу служители на криптовалутна борса Coinbase и също така бяха използвани за разпространение на зловреден софтуер за платформата macOS.
Недостатъчната проверка на параметрите, предадени с подканата: Отворено IPC съобщение между дъщерния и родителския процес може да доведе до непроменен в родителски процес отваряне на уеб съдържание, избрано от компрометиран дъщерен процес. Когато се комбинира с допълнителни уязвимости, това може да доведе до изпълнение на произволен код на компютъра на потребителя.
Тази седмица Mozilla пусна Firefox 67.0.3, за да коригира критична уязвимост за отдалечено изпълнение на код, която се използваше за целенасочени атаки.
След пускането му бе установено, че уязвимостта и друга неизвестна са свързани във верига като част от атака за подправяне, за да се премахнат и изпълнят злонамерени полезни товари на машините на жертвата.
Твърди се, че Информация за първата уязвимост беше изпратена до Mozilla от участник в Google Project Zero на 15 април и фиксиран на 10 юни в бета версията на Firefox 68 (нападателите вероятно са анализирали публикуваното решение и са подготвили експлоата, използвайки друга уязвимост, за да избегнат изолирането на пясъчника).
Как да актуализирам браузъра Firefox на Linux?
За да актуализирате новите коригиращи версии на браузъра до този и дори да го инсталирате, ако го нямате, можете да го направите, като следвате инструкциите, които споделяме по-долу.
Потребители на Ubuntu, Linux Mint или някои други производни на Ubuntu, Те могат да инсталират или актуализират до тази нова версия с помощта на PPA на браузъра.
Това може да се добави към системата чрез отваряне на терминал и изпълнение на следната команда в него:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Направете това сега, те просто трябва да инсталират с:
sudo apt install firefox
за всички други дистрибуции на Linux могат да изтеглят двоичните пакети от следната връзка.
Или проверете дали новата версия вече е включена в хранилищата на вашата дистрибуция.
Друг начин за актуализиране на браузъра До най-новата версия е чрез отваряне на браузъра, тук потребителите могат ръчно да търсят нови актуализации в менюто на Firefox -> Помощ -> Всичко за Firefox. Firefox автоматично ще провери за нова актуализация и ще я инсталира.
също Очаква се коригиране на грешки в Firefox за втория нулев ден открита грешка удари браузъра Tor през следващите няколко дни.
От днес екипът на браузъра Tor е актуализиран до версия 8.5.2, която включва корекцията за първата грешка от нулев ден, открита в клона на Firefox.