Včera jeden z našich kolegů nahlášeno několik nalezených chyb které ovlivňují všechny verze Firefoxu, protože v prohlížeči byla objevena chyba zabezpečení nultého dne a je aktivně využíván při cílených útocích. Narušení zabezpečení bylo odhaleno prostřednictvím projektu Google Zero a týká se všech verzí prohlížeče Firefox.
Nyní o den později Mozilla znovu požádá všechny uživatele prohlížeče, aby znovu provedli aktualizaci na novou vynikající verzi, která je již vydána, toto s tím důvodem, že v prohlížeči byla objevena druhá chyba nultého dne.
Druhá chyba s nulovým dnem ve Firefoxu
Mozilla vydala Firefox 67.0.4 k opravě chyby zabezpečení zabezpečení, které bylo použito při cílených útocích proti firmám zabývajícím se kryptoměnou, jako je Coinbase. Uživatelé prohlížeče Firefox by si měli tuto aktualizaci nainstalovat okamžitě.
Nachází se za Firefoxem 67.0.3 a 60.7.1, Byly vydány další opravné verze 67.0.4 a 60.7.2, které vylučují druhou chybu zabezpečení nultého dne (CVE-2019-11708), která umožňuje obejít mechanismus izolace izolovaného prostoru prohlížeče.
Problém umožňuje použít žádost o příkaz k otevření manipulace volání IPC k otevření webového obsahu v podřízeném procesu, který nepoužívá karanténu.
V kombinaci s další zranitelností tento problém umožňuje obejít všechny úrovně ochrany a organizovat provádění kódu v systému.
Před opravou zranitelnosti identifikované v posledních dvou verzích prohlížeče Firefox Byly použity ke zinscenování útoku proti zaměstnancům burzy kryptoměn Coinbase a byly také použity k šíření malwaru pro platformu macOS.
Nedostatečné ověření parametrů předaných pomocí výzvy: Otevřená zpráva IPC mezi podřízenými a nadřazenými procesy může způsobit, že nadřazený proces, který není v karanténě, otevře webový obsah vybraný ohroženým podřízeným procesem. V kombinaci s dalšími chybami zabezpečení by to mohlo vést k provedení libovolného kódu v počítači uživatele.
Tento týden společnost Mozilla vydala Firefox 67.0.3 k opravě kritické chyby zabezpečení vzdáleného spuštění kódu, která byla použita při cílených útocích.
Od jeho vydání bylo zjištěno, že zranitelnost a další neznámá byla zřetězena jako součást spoofingového útoku, který měl odstranit a spustit škodlivé užitečné zatížení na strojích oběti.
Tvrdí se, že Informace o první chybě zabezpečení zaslal Mozille účastník projektu Google Project Zero 15. dubna a opraveno 10. června v beta verzi prohlížeče Firefox 68 (útočníci pravděpodobně analyzovali publikované řešení a připravili zneužití pomocí jiné chyby zabezpečení, aby se vyhnuli izolaci izolovaného prostoru).
Jak aktualizovat prohlížeč Firefox v systému Linux?
Chcete-li aktualizovat nové opravné verze prohlížeče na tuto a dokonce ji nainstalovat, pokud ji nemáte, můžete to provést podle pokynů, které sdílíme níže.
Uživatelé Ubuntu, Linux Mint nebo jiného derivátu Ubuntu, Mohou instalovat nebo aktualizovat tuto novou verzi pomocí PPA prohlížeče.
To lze přidat do systému otevřením terminálu a provedením následujícího příkazu v něm:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Hotovo nyní stačí nainstalovat pomocí:
sudo apt install firefox
na všechny ostatní distribuce Linuxu si mohou binární balíčky stáhnout z následující odkaz.
Nebo zkontrolujte, zda již byla nová verze začleněna do repozitářů vaší distribuce.
Další způsob aktualizace prohlížeče Nejnovější verzi získáte otevřením prohlížeče, kde uživatelé mohou ručně vyhledávat nové aktualizace v nabídce Firefox -> Nápověda -> O Firefoxu. Firefox automaticky zkontroluje novou aktualizaci a nainstaluje ji.
také Očekává se oprava chyby ve Firefoxu pro druhou zjištěnou závadu nulového dne hit prohlížeč Tor v příštích několika dnech.
Od dnešního dne byl tým Tor Browser aktualizován na verzi 8.5.2, která zahrnuje opravu první chyby v nultém dni, která byla zjištěna ve větvi Firefox.