Eile üks meie kolleegidest teatasid mõned leitud vead mis mõjutavad kõiki Firefoxi versioone, kuna brauseris avastati nullpäevane haavatavus ning seda kasutatakse aktiivselt suunatud rünnakutes. Turvarikkumine paljastati Google'i projekti Zero kaudu ja see mõjutab kõiki Firefoxi versioone.
Nüüd päev hiljem palub Mozilla kõigil brauseri kasutajatel uuesti värskendada uuele paremale versioonile, mis on juba välja antud, see põhjusel, et brauseris avastati teine nullpäeva haavatavus.
Teine nullpäevane viga Firefoxis
Mozilla on haavatavuse parandamiseks välja andnud Firefox 67.0.4 turvalisus, mida on kasutatud sihitud rünnakutes krüptovaluuta firmade, näiteks Coinbase'i vastu. Firefoxi kasutajad peaksid selle värskenduse kohe installima.
Asub Firefoxi 67.0.3 ja 60.7.1 taga, Välja anti täiendavad parandusversioonid 67.0.4 ja 60.7.2, kõrvaldades teise nullipäeva haavatavuse (CVE-2019-11708), mis võimaldab mööda minna brauseri liivakasti isolatsioonimehhanismist.
Probleem võimaldab IPC-kõnega manipuleerimise avamiseks kasutada käsupäringut veebisisu avamiseks lapseprotsessis, mis ei kasuta liivakasti.
Koos teise haavatavusega see väljaanne võimaldab teil vältida kõiki kaitsetasemeid ja korraldada koodi täitmine süsteemis.
Enne parandamist Firefoxi kahes viimases versioonis tuvastatud haavatavused Neid kasutati rünnaku korraldamiseks krüptoraha vahetuse Coinbase töötajate vastu ning neid kasutati ka MacOS platvormi pahavara levitamiseks.
Viip: Avatud IPC-sõnumiga lapse ja vanema protsesside vahel edastatud parameetrite ebapiisav kontrollimine võib põhjustada liivakastita vanemaprotsessi avada ohustatud alamprotsessi valitud veebisisu. Koos täiendavate haavatavustega võib see põhjustada suvalise koodi käivitamise kasutaja arvutis.
Sel nädalal andis Mozilla välja Firefox 67.0.3, et parandada sihitud rünnakutes kasutatava kriitilise koodi kaugkäivitamise haavatavust.
Alates selle vabastamisest avastati, et haavatavus ja veel üks tundmatu olid aheldatud võltsrünnaku käigus, et eemaldada ja täita ohvri masinate pahatahtlikke kasulikke koormusi.
Väidetavalt Informatsiooni esimese haavatavuse kohta saatis Mozillale Google Project Zero osaleja 15. aprillil ja fikseeritud 10. juunil Firefox 68 beetaversioonis (ründajad analüüsisid ilmselt avaldatud lahendust ja valmistasid selle ära kasutades teist haavatavust, et vältida liivakasti isoleerimist).
Kuidas värskendada Firefoxi brauserit Linuxis?
Brauseri uute parandusversioonide värskendamiseks sellele versioonile ja selle installimiseks, kui teil seda veel pole, saate seda teha järgides alltoodud juhiseid.
Ubuntu, Linux Mint või mõne muu Ubuntu derivaadi kasutajad, Nad saavad selle uue versiooni installida või uuendada brauseri PPA abil.
Selle saab süsteemi lisada, avades terminali ja käivitades selles järgmise käsu:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Tehtud nüüd, nad peavad lihtsalt installima koos:
sudo apt install firefox
et kõik teised Linuxi distributsioonid saavad binaarpakette alla laadida pärit järgmine link.
Või kontrollige, kas uus versioon on teie distro hoidlatesse juba lisatud.
Teine võimalus brauseri värskendamiseks Uusim versioon on brauseri avamine, siin saavad kasutajad käsitsi otsida uusi värskendusi menüüst Firefox -> Abi -> Teave Firefoxi kohta. Firefox kontrollib automaatselt uut värskendust ja installib selle.
ka Eeldatav on Firefoxi veaparandus avastatud teise nullpäeva viga tabas Tori brauserit lähipäevil.
Alates tänasest värskendati Tor Browseri meeskonda versioonile 8.5.2, mis sisaldab Firefoxi harus tuvastatud esimese nullpäeva vea parandust.