Eilen yksi kollegoistamme ilmoitti löytyneistä virheistä jotka vaikuttavat kaikkiin Firefoxin versioihin, koska selaimesta löydettiin nollapäivän haavoittuvuus ja sitä hyödynnetään aktiivisesti kohdennetuissa hyökkäyksissä. Suojausrikkomus paljastettiin Googlen Project Zero -palvelun kautta ja se vaikuttaa kaikkiin Firefox-versioihin.
Nyt päivä myöhemmin, Mozilla pyytää jälleen kaikkia selaimen käyttäjiä päivittämään uudelleen uuteen parempaan versioon, joka on jo julkaistu, tämä syystä, että selaimesta löydettiin toinen nollapäivän haavoittuvuus.
Toinen nollapäivävika Firefoxissa
Mozilla on julkaissut Firefox 67.0.4: n korjaamaan haavoittuvuuden suojaus, jota on käytetty kohdennettuihin hyökkäyksiin kryptovaluuttayrityksille, kuten Coinbase. Firefoxin käyttäjien tulee asentaa tämä päivitys välittömästi.
Firefox 67.0.3: n ja 60.7.1: n takana, Muut korjaavat versiot 67.0.4 ja 60.7.2 julkaistiin, mikä eliminoi toisen nollapäivän haavoittuvuuden (CVE-2019-11708), joka sallii selaimen hiekkalaatikon eristysmekanismin ohittamisen.
Ongelma sallii komentopyynnön avaamisen IPC-puhelun manipulointiin avata verkkosisältö lapsiprosessissa, joka ei käytä hiekkalaatikkoa.
Yhdessä toisen haavoittuvuuden kanssa Tämän numeron avulla voit ohittaa kaikki suojaustasot ja järjestää koodin suorittaminen järjestelmässä.
Ennen korjaamista Firefoxin kahdessa viimeisessä versiossa havaitut haavoittuvuudet Niitä käytettiin hyökkäyksen järjestämiseen kryptovaluutanvaihto Coinbasen työntekijöitä vastaan, ja niitä käytettiin myös haittaohjelmien levittämiseen macOS-alustalle.
Kysely: Avoin IPC -viesti lapsi- ja ylätason prosessien välityksellä lähetettyjen parametrien riittämätön todentaminen voi saada hiekkalaatikkopäällikkö-prosessin avaamaan vaarantuneen aliprosessin valitseman verkkosisällön. Yhdistettynä muihin haavoittuvuuksiin tämä voi johtaa mielivaltaisen koodin suorittamiseen käyttäjän tietokoneessa.
Tällä viikolla Mozilla julkaisi Firefox 67.0.3: n korjaamaan kohdistetuissa hyökkäyksissä käytetyn kriittisen etäkoodin suorittamisen haavoittuvuuden.
Julkaisunsa jälkeen haavoittuvuuden ja toisen tuntemattoman havaittiin olevan ketjutettu osaksi huijaushyökkäystä uhrin koneiden haitallisten hyötykuormien poistamiseksi ja suorittamiseksi.
Sen väitetään Tietoja ensimmäisestä haavoittuvuudesta lähetti Mozilla Google Project Zero -käyttäjä 15. huhtikuuta ja korjattu 10. kesäkuuta Firefox 68: n beetaversiossa (hyökkääjät todennäköisesti analysoivat julkaistun ratkaisun ja valmistelivat hyödyntämistä toisen haavoittuvuuden avulla hiekkalaatikon eristämisen välttämiseksi).
Kuinka päivittää Firefox-selain Linuxissa?
Voit päivittää selaimen uudet korjaavat versiot tähän ja jopa asentaa sen, jos sinulla ei ole sitä, voit tehdä sen seuraamalla alla olevia ohjeita.
Ubuntun, Linux Mintin tai muun Ubuntun johdannaisen käyttäjät, He voivat asentaa tai päivittää uuden version selaimen PPA: n avulla.
Tämä voidaan lisätä järjestelmään avaamalla pääte ja suorittamalla seuraava komento siinä:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Tehty tämä nyt heidän on vain asennettava:
sudo apt install firefox
että kaikki muut Linux-jakelut voivat ladata binaaripaketit alkaen seuraava linkki.
Tai tarkista, onko uusi versio jo sisällytetty distroosi.
Toinen tapa päivittää selain Viimeisin versio on avaamalla selain, täällä käyttäjät voivat etsiä uusia päivityksiä manuaalisesti Firefox-valikosta -> Ohje -> Tietoja Firefoxista. Firefox tarkistaa automaattisesti uuden päivityksen ja asentaa sen.
myös Firefoxin virhekorjaus on odotettavissa toisen nollapäivän havaittu vika osui Tor-selaimeen lähipäivinä.
Tästä päivästä lähtien Tor Browser -tiimi on päivitetty versioon 8.5.2, joka sisältää korjauksen ensimmäiselle nollapäivävirheelle, joka havaittiin Firefox-haarassa.