Kemarin salah satu rekan kita melaporkan beberapa bug yang ditemukan yang mempengaruhi semua versi Firefox karena kerentanan zero day ditemukan di browser dan secara aktif dieksploitasi dalam serangan yang ditargetkan. Pelanggaran keamanan terungkap melalui Google Project Zero dan mempengaruhi semua versi Firefox.
Kini sehari kemudian, Mozilla kembali meminta semua pengguna browser untuk memperbarui lagi ke versi superior baru yang sudah dirilis, ini dengan alasan bahwa kerentanan zero day kedua ditemukan di browser.
Bug zero day kedua di Firefox
Mozilla telah merilis Firefox 67.0.4 untuk memperbaiki kerentanan keamanan yang telah digunakan dalam serangan yang ditargetkan terhadap perusahaan cryptocurrency seperti Coinbase. Pengguna Firefox harus segera menginstal pembaruan ini.
Terletak di belakang Firefox 67.0.3 dan 60.7.1, Versi korektif tambahan 67.0.4 dan 60.7.2 dirilis, menghilangkan kerentanan zero day kedua (CVE-2019-11708), yang memungkinkan melewati mekanisme isolasi kotak pasir browser.
Masalahnya memungkinkan untuk menggunakan permintaan perintah untuk membuka manipulasi panggilan IPC untuk membuka konten web dalam proses anak yang tidak menggunakan kotak pasir.
Dikombinasikan dengan kerentanan lain, masalah ini memungkinkan Anda untuk melewati semua tingkat perlindungan dan mengatur eksekusi kode dalam sistem.
Sebelum diperbaiki, kerentanan yang teridentifikasi di dua versi Firefox terakhir Mereka digunakan untuk melakukan serangan terhadap karyawan pertukaran cryptocurrency Coinbase dan juga digunakan untuk menyebarkan malware untuk platform macOS.
Verifikasi parameter yang tidak memadai yang diteruskan dengan pesan Prompt: Open IPC antara proses anak dan induk dapat menyebabkan proses induk non-sandbox untuk membuka konten web yang dipilih oleh proses turunan yang disusupi. Jika digabungkan dengan kerentanan tambahan, ini dapat mengakibatkan eksekusi kode arbitrer di komputer pengguna.
Minggu ini, Mozilla merilis Firefox 67.0.3 untuk memperbaiki kerentanan eksekusi kode jarak jauh yang kritis yang digunakan dalam serangan yang ditargetkan.
Sejak dirilis, kerentanan dan hal lain yang tidak diketahui ditemukan telah dirantai bersama sebagai bagian dari serangan spoofing untuk menghapus dan mengeksekusi muatan berbahaya pada mesin korban.
Dugaan itu Informasi tentang kerentanan pertama dikirim ke Mozilla oleh peserta Google Project Zero pada 15 April dan diperbaiki pada 10 Juni dalam versi beta Firefox 68 (penyerang mungkin menganalisis solusi yang diterbitkan dan menyiapkan exploit menggunakan kerentanan lain untuk menghindari isolasi kotak pasir).
Bagaimana cara memperbarui browser Firefox di Linux?
Untuk memperbarui versi korektif baru dari browser ini dan bahkan menginstalnya jika Anda tidak memilikinya, Anda dapat melakukannya dengan mengikuti petunjuk yang kami bagikan di bawah.
Pengguna Ubuntu, Linux Mint atau beberapa turunan Ubuntu lainnya, Mereka dapat menginstal atau memperbarui ke versi baru ini dengan bantuan PPA browser.
Ini dapat ditambahkan ke sistem dengan membuka terminal dan menjalankan perintah berikut di dalamnya:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Selesai sekarang mereka hanya perlu menginstal dengan:
sudo apt install firefox
untuk semua distribusi Linux lainnya dapat mengunduh paket biner dari link berikut.
Atau periksa apakah versi baru telah dimasukkan ke dalam repositori distro Anda.
Cara lain untuk memperbarui browser Versi terbaru adalah dengan membuka browser, disini pengguna dapat mencari update terbaru secara manual di menu Firefox -> Help -> About Firefox. Firefox secara otomatis akan memeriksa pembaruan baru dan menginstalnya.
juga Perbaikan bug Firefox diharapkan untuk kesalahan nol hari kedua ditemukan tekan browser Tor dalam beberapa hari ke depan.
Sejak hari ini, tim Tor Browser telah diperbarui ke versi 8.5.2, yang menyertakan perbaikan untuk kesalahan nol hari pertama yang terdeteksi di cabang Firefox.