Tegnap egyik kollégánk jelentett néhány talált hibát amelyek a Firefox összes verzióját érintik, mert nulla napos biztonsági rést fedeztek fel a böngészőben és célzott támadásokban aktívan kihasználják. A biztonsági rést a Google Project Zero segítségével fedezték fel, és az a Firefox összes verzióját érinti.
Most egy nappal később a Mozilla ismét minden böngésző felhasználót felkér az új frissítésre a már kiadott új superior verzióra, ez azzal az indokkal, hogy egy második nulla napos biztonsági rést fedeztek fel a böngészőben.
Egy második nulla napos hiba a Firefoxban
A Mozilla kiadta a Firefox 67.0.4 verziót a biztonsági rés kijavítására biztonság, amelyet olyan kriptovaluta cégek, például a Coinbase elleni célzott támadásokban használtak. A Firefox-felhasználóknak azonnal telepíteniük kell ezt a frissítést.
A Firefox 67.0.3 és 60.7.1 mögött található, További korrekciós 67.0.4 és 60.7.2 verziók kerültek kiadásra, kiküszöbölve a második nulla napos biztonsági rést (CVE-2019-11708), amely lehetővé teszi a böngésző homokozójának elkülönítési mechanizmusának megkerülését.
A probléma lehetővé teszi a parancskérés használatát az IPC-hívások manipulációjának megnyitásához hogy webtartalmat nyisson meg olyan gyermekfolyamatban, amely nem használ homokozót.
Egy másik sebezhetőséggel kombinálva ez a kérdés lehetővé teszi a védelem minden szintjének megkerülését és megszervezi a kód végrehajtását a rendszerben.
Javítás előtt a Firefox utolsó két verziójában azonosított biztonsági rések Támadásra használták őket a Coinbase kriptovaluta-csere alkalmazottai ellen, és rosszindulatú programokat is terjesztettek a macOS platformra.
A Kérdés: Nyissa meg az IPC üzenetet az alárendelt és a szülői folyamatok között átadott paraméterek nem megfelelő ellenőrzése azt eredményezheti, hogy a nem sandboxos szülői folyamat megnyitja a veszélyeztetett gyermekfolyamat által választott webtartalmat. További biztonsági résekkel kombinálva ez tetszőleges kód futtatásához vezethet a felhasználó számítógépén.
Ezen a héten a Mozilla kiadta a Firefox 67.0.3 verziót, hogy kijavítsa a célzott támadások során használt kritikus távoli kódfuttatási sebezhetőséget.
Kiadása óta kiderült, hogy a sérülékenységet és egy másik ismeretlent egy hamis támadás részeként láncoltak össze az áldozat gépein található rosszindulatú teher eltávolítására és végrehajtására.
Állítólag az Az első biztonsági résről információkat küldött a Mozillának a Google Project Zero résztvevője április 15-én és június 10-én javítva a Firefox 68 bétaverziójában (a támadók valószínűleg elemezték a közzétett megoldást, és egy másik sebezhetőség felhasználásával előkészítették a kihasználást a homokozó elszigetelésének elkerülése érdekében).
Hogyan lehet frissíteni a Firefox böngészőt Linuxon?
Annak érdekében, hogy a böngésző új javító verzióit frissítse erre a verzióra, és még telepítse is, ha még nincs, akkor az alábbiakban megosztott utasításokat követve teheti meg.
Az Ubuntu, a Linux Mint vagy az Ubuntu más származékának felhasználói, A böngésző PPA segítségével telepíthetik vagy frissíthetik ezt az új verziót.
Ez hozzáadható a rendszerhez egy terminál megnyitásával és a következő parancs végrehajtásával:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Kész ezt most csak telepíteniük kell:
sudo apt install firefox
hogy az összes többi Linux disztribúció letöltheti a bináris csomagokat -tól a következő link.
Vagy ellenőrizze, hogy az új verzió már be van-e építve a disztribútor tárházába.
A böngésző frissítésének másik módja A legújabb verzió a böngésző megnyitásával történik, itt a felhasználók manuálisan kereshetnek új frissítéseket a Firefox menüben -> Súgó -> A Firefox névjegye. A Firefox automatikusan ellenőrzi az új frissítést és telepíti azt.
is Várható a Firefox hibajavítása a második nulla napos hibára a következő napokban érje el a Tor böngészőt.
Mától kezdve a Tor Browser csapata frissült a 8.5.2 verzióra, amely tartalmazza a Firefox ágban észlelt első nulla napos hiba javítását.