I går en af vores kolleger rapporterede om, at der var fundet fejl der påvirker alle versioner af Firefox, fordi en nul dags sårbarhed blev opdaget i browseren og udnyttes aktivt i målrettede angreb. Sikkerhedsbruddet blev afsløret gennem Googles Project Zero og påvirker alle versioner af Firefox.
Nu en dag senere beder Mozilla igen alle browserbrugere om at opdatere igen til en ny overlegen version, som allerede er frigivet, dette med grunden til, at der blev opdaget en anden nul dags sårbarhed i browseren.
En anden nul-dages fejl i Firefox
Mozilla har frigivet Firefox 67.0.4 for at rette en sårbarhed sikkerhed, der er blevet brugt i målrettede angreb mod kryptokurrencyfirmaer som Coinbase. Firefox-brugere skal installere denne opdatering med det samme.
Placeret bag Firefox 67.0.3 og 60.7.1, Yderligere korrigerende versioner 67.0.4 og 60.7.2 blev frigivet, hvilket eliminerede den anden nul-dags sårbarhed (CVE-2019-11708), som gør det muligt at omgå browsersandkasseisoleringsmekanismen.
Problemet gør det muligt at bruge kommandoforespørgslen til at åbne manipulationen af IPC-opkald at åbne webindhold i en underordnet proces, der ikke bruger en sandkasse.
Kombineret med en anden sårbarhed, dette problem giver dig mulighed for at omgå alle niveauer af beskyttelse og organisere udførelsen af koden i systemet.
Inden du bliver repareret, de sårbarheder, der er identificeret i de sidste to versioner af Firefox De blev brugt til at iscenesætte et angreb mod ansatte i kryptokursudveksling Coinbase og blev også brugt til at sprede malware til macOS-platformen.
Utilstrækkelig verifikation af de parametre, der sendes med Prompt: Åben IPC-meddelelse mellem underordnede og forældreprocesser kan få den overordnede proces, der ikke er sandkasse, til at åbne webindholdet valgt af en kompromitteret underordnet proces. Når det kombineres med yderligere sårbarheder, kan dette resultere i udførelse af vilkårlig kode på brugerens computer.
I denne uge frigav Mozilla Firefox 67.0.3 for at rette op på en kritisk sårbarhed med fjernudførelse af kode, der blev brugt i målrettede angreb.
Siden frigivelsen blev det konstateret, at sårbarheden og en anden ukendt var sammenkædet som en del af et spoofing-angreb for at fjerne og udføre ondsindede nyttelast på ofrets maskiner.
Det hævdes, at Oplysninger om den første sårbarhed blev sendt til Mozilla af en Google Project Zero-deltager den 15. april og rettet den 10. juni i betaversionen af Firefox 68 (angriberne analyserede sandsynligvis den offentliggjorte løsning og forberedte udnyttelsen ved hjælp af en anden sårbarhed for at undgå isolering af sandkasser).
Hvordan opdateres Firefox-browseren på Linux?
For at opdatere de nye korrigerende versioner af browseren til denne og endda installere den, hvis du ikke har den, kan du gøre det ved at følge de instruktioner, vi deler nedenfor.
Brugere af Ubuntu, Linux Mint eller et andet derivat af Ubuntu, De kan installere eller opdatere til denne nye version ved hjælp af browserens PPA.
Dette kan føjes til systemet ved at åbne en terminal og udføre følgende kommando i den:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Udført dette nu skal de bare installere med:
sudo apt install firefox
til alle andre Linux-distributioner kan downloade de binære pakker fra følgende link.
Eller kontroller, om den nye version allerede er indarbejdet i repositorierne i din distro.
En anden måde at opdatere browseren på Til den nyeste version er ved at åbne browseren, her kan brugere manuelt søge efter nye opdateringer i Firefox-menuen -> Hjælp -> Om Firefox. Firefox vil automatisk kontrollere for en ny opdatering og installere den.
også Firefox bug fix forventes for den anden nul-dages fejl opdaget ramte Tor-browseren i de næste par dage.
Siden i dag blev Tor Browser-teamet opdateret til version 8.5.2, som inkluderer rettelsen til den første nul-dagsfejl, der blev opdaget i Firefox-grenen.