Χθες ένας από τους συναδέλφους μας ανέφεραν κάποια σφάλματα που βρέθηκαν που επηρεάζουν όλες τις εκδόσεις του Firefox επειδή Ανακαλύφθηκε ευπάθεια μηδενικής ημέρας στο πρόγραμμα περιήγησης και αξιοποιείται ενεργά σε στοχευμένες επιθέσεις. Η παραβίαση ασφαλείας αποκαλύφθηκε μέσω του Project Zero της Google και επηρεάζει όλες τις εκδόσεις του Firefox.
Τώρα μια μέρα αργότερα, η Mozilla ζητά ξανά από όλους τους χρήστες του προγράμματος περιήγησης να ενημερώσουν ξανά σε μια νέα ανώτερη έκδοση που έχει ήδη κυκλοφορήσει, αυτό με το λόγο ότι μια δεύτερη μηδενική ημέρα ευπάθεια ανακαλύφθηκε στο πρόγραμμα περιήγησης.
Ένα δεύτερο σφάλμα μηδενικής ημέρας στον Firefox
Η Mozilla κυκλοφόρησε τον Firefox 67.0.4 για να διορθώσει μια ευπάθεια ασφάλεια που έχει χρησιμοποιηθεί σε στοχευμένες επιθέσεις κατά εταιρειών κρυπτονομισμάτων όπως το Coinbase. Οι χρήστες του Firefox θα πρέπει να εγκαταστήσουν αυτήν την ενημέρωση αμέσως.
Βρίσκεται πίσω από τον Firefox 67.0.3 και 60.7.1, Κυκλοφόρησαν επιπλέον διορθωτικές εκδόσεις 67.0.4 και 60.7.2, εξαλείφοντας την ευπάθεια της δεύτερης ημέρας (CVE-2019-11708), η οποία επιτρέπει την παράκαμψη του μηχανισμού απομόνωσης του sandbox του προγράμματος περιήγησης.
Το πρόβλημα επιτρέπει τη χρήση του αιτήματος εντολών για άνοιγμα χειρισμού κλήσεων IPC για να ανοίξετε περιεχόμενο ιστού σε μια θυγατρική διαδικασία που δεν χρησιμοποιεί sandbox.
Σε συνδυασμό με μια άλλη ευπάθεια, Αυτό το ζήτημα σας επιτρέπει να παρακάμψετε όλα τα επίπεδα προστασίας και οργανώστε την εκτέλεση του κώδικα στο σύστημα.
Πριν επισκευαστεί, τις ευπάθειες που εντοπίστηκαν στις δύο τελευταίες εκδόσεις του Firefox Χρησιμοποιήθηκαν για την επίθεση εναντίον υπαλλήλων της ανταλλαγής κρυπτονομισμάτων Coinbase και χρησιμοποιήθηκαν επίσης για τη διάδοση κακόβουλου λογισμικού για την πλατφόρμα macOS.
Η ανεπαρκής επαλήθευση των παραμέτρων που έχουν περάσει με τη γραμμή εντολών: Άνοιγμα IPC μεταξύ του παιδιού και των γονικών διεργασιών μπορεί να προκαλέσει το μη γονικό πρόγραμμα χωρίς άμμο να ανοίξει το περιεχόμενο ιστού που επιλέχθηκε από μια παραβιασμένη θυγατρική διαδικασία. Όταν συνδυάζεται με πρόσθετες ευπάθειες, αυτό θα μπορούσε να οδηγήσει στην εκτέλεση αυθαίρετου κώδικα στον υπολογιστή του χρήστη.
Αυτή την εβδομάδα, η Mozilla κυκλοφόρησε τον Firefox 67.0.3 για να διορθώσει μια κρίσιμη ευπάθεια εκτέλεσης απομακρυσμένου κώδικα που χρησιμοποιείται σε στοχευμένες επιθέσεις.
Από την κυκλοφορία του, η ευπάθεια και ένας άλλος άγνωστος ανακαλύφθηκε ότι ήταν αλυσοδεμένοι μαζί ως μέρος μιας επίθεσης πλαστογράφησης για την αφαίρεση και εκτέλεση κακόβουλων ωφέλιμων φορτίων στα μηχανήματα του θύματος.
Υποστηρίζεται ότι Πληροφορίες σχετικά με την πρώτη ευπάθεια στάλθηκαν στη Mozilla από έναν συμμετέχοντα στο Google Project Zero στις 15 Απριλίου και επιδιορθώθηκε στις 10 Ιουνίου στην έκδοση beta του Firefox 68 (οι επιτιθέμενοι πιθανώς ανέλυσαν τη δημοσιευμένη λύση και προετοίμασαν την εκμετάλλευση χρησιμοποιώντας μια άλλη ευπάθεια για να αποφευχθεί η απομόνωση του sandbox).
Πώς να ενημερώσετε το πρόγραμμα περιήγησης Firefox σε Linux;
Για να ενημερώσετε τις νέες διορθωτικές εκδόσεις του προγράμματος περιήγησης σε αυτό και ακόμη και να το εγκαταστήσετε εάν δεν το έχετε, μπορείτε να το κάνετε ακολουθώντας τις οδηγίες που κοινοποιούμε παρακάτω.
Χρήστες Ubuntu, Linux Mint ή κάποιο άλλο παράγωγο του Ubuntu, Μπορούν να εγκαταστήσουν ή να ενημερώσουν σε αυτήν τη νέα έκδοση με τη βοήθεια του PPA του προγράμματος περιήγησης.
Αυτό μπορεί να προστεθεί στο σύστημα ανοίγοντας ένα τερματικό και εκτελώντας την ακόλουθη εντολή σε αυτό:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Αυτό έγινε τώρα, απλώς πρέπει να το εγκαταστήσουν με:
sudo apt install firefox
να όλες οι άλλες διανομές Linux μπορούν να κατεβάσουν τα δυαδικά πακέτα από τον ακόλουθο σύνδεσμο.
Ή ελέγξτε αν η νέα έκδοση έχει ήδη ενσωματωθεί στα αποθετήρια της διανομής σας.
Ένας άλλος τρόπος για να ενημερώσετε το πρόγραμμα περιήγησης Στην πιο πρόσφατη έκδοση είναι ανοίγοντας το πρόγραμμα περιήγησης, εδώ οι χρήστες μπορούν να αναζητήσουν χειροκίνητα νέες ενημερώσεις στο μενού του Firefox -> Βοήθεια -> Σχετικά με τον Firefox. Ο Firefox θα ελέγξει αυτόματα για μια νέα ενημέρωση και θα την εγκαταστήσει.
επίσης Αναμένεται η διόρθωση σφαλμάτων του Firefox για τη δεύτερη μηδενική ημέρα εντοπίστηκε σφάλμα πατήστε το πρόγραμμα περιήγησης Tor τις επόμενες ημέρες.
Από σήμερα, η ομάδα του προγράμματος περιήγησης Tor ενημερώθηκε στην έκδοση 8.5.2, η οποία περιλαμβάνει την ενημέρωση κώδικα για το σφάλμα μηδενικής ημέρας που εντοπίστηκε στον κλάδο του Firefox.