אתמול אחד הקולגות שלנו דיווח על כמה באגים שנמצאו שמשפיעים על כל הגרסאות של Firefox בגלל בדפדפן התגלתה פגיעות של יום אפס ומנוצל באופן פעיל בהתקפות ממוקדות. הפרת האבטחה נחשפה באמצעות פרויקט אפס של גוגל ומשפיעה על כל הגרסאות של פיירפוקס.
כעבור יום, מוזילה שוב מבקשת מכל משתמשי הדפדפן לעדכן שוב לגרסה מעולה חדשה שכבר שוחררה, זו מהסיבה שהתגלתה בדפדפן פגיעות שנייה של יום אפס.
באג שני אפס יום ב- Firefox
Mozilla פרסמה את Firefox 67.0.4 כדי לתקן פגיעות אבטחה ששימשה בהתקפות ממוקדות נגד חברות מטבעות קריפטו כגון Coinbase. על משתמשי Firefox להתקין עדכון זה באופן מיידי.
ממוקם מאחורי Firefox 67.0.3 ו- 60.7.1, גרסאות תיקון נוספות 67.0.4 ו- 60.7.2 פורסמו, מה שמבטל את הפגיעות השנייה באפס יום (CVE-2019-11708), המאפשרת לעקוף את מנגנון בידוד ארגז החול בדפדפן.
הבעיה מאפשרת להשתמש בבקשת הפקודה כדי לפתוח את המניפולציה של שיחות IPC כדי לפתוח תוכן אינטרנט בתהליך ילד שאינו משתמש בארגז חול.
בשילוב עם פגיעות אחרת, נושא זה מאפשר לך לעקוף את כל רמות ההגנה לארגן את ביצוע הקוד במערכת.
לפני תיקון, את הפגיעות שזוהו בשתי הגרסאות האחרונות של Firefox הם שימשו למתקפה נגד עובדי מטבע החליפין של מטבעות קריפטוגרפיים ושימשו גם להפצת תוכנות זדוניות לפלטפורמת macOS.
אימות לא מספיק של הפרמטרים שהועברו עם ההנחיה: הודעת IPC פתוחה בין תהליכי הילד להורה יכולה לגרום לתהליך ההורה שאינו ארגז חול לפתוח את תוכן האינטרנט שנבחר על ידי תהליך ילד שנפגע. בשילוב עם נקודות תורפה נוספות, הדבר עלול לגרום לביצוע קוד שרירותי במחשב המשתמש.
השבוע פרסמה מוזילה את Firefox 67.0.3 כדי לתקן פגיעות קריטית לביצוע קוד מרחוק ששימשה בהתקפות ממוקדות.
מאז שחרורו התגלו כי הפגיעות ואלמוני נוסף נלכדו כשלושה במסגרת מתקפת זיוף בכדי להסיר ולבצע מטענים זדוניים על מכונות הקורבן.
נטען כי מידע על הפגיעות הראשונה נשלח למוזילה על ידי משתתף ב- Google Project Zero ב -15 באפריל ותוקן ב -10 ביוני בגרסת הבטא של Firefox 68 (התוקפים כנראה ניתחו את הפתרון שפורסם והכינו את הניצול באמצעות פגיעות אחרת כדי למנוע בידוד ארגזי חול).
כיצד לעדכן את דפדפן פיירפוקס בלינוקס?
על מנת לעדכן את הגרסאות המתקנות החדשות של הדפדפן לזה ואף להתקין אותו אם אין לך אותו, תוכל לעשות זאת על ידי ביצוע ההוראות שאנו חולקים להלן.
משתמשים באובונטו, לינוקס מנטה או נגזרת אחרת של אובונטו, הם יכולים להתקין או לעדכן לגרסה חדשה זו בעזרת ה- PPA של הדפדפן.
ניתן להוסיף זאת למערכת על ידי פתיחת מסוף והפעלת הפקודה הבאה בו:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
בוצע זה עכשיו הם רק צריכים להתקין עם:
sudo apt install firefox
כדי כל שאר הפצות הלינוקס יכולות להוריד את החבילות הבינאריות מן הקישור הבא.
או בדוק אם הגרסה החדשה כבר שולבה במאגרי ההפצה שלך.
דרך נוספת לעדכן את הדפדפן לגרסה האחרונה היא על ידי פתיחת הדפדפן, כאן משתמשים יכולים לחפש ידנית עדכונים חדשים בתפריט Firefox -> עזרה -> אודות Firefox. Firefox יבדוק אוטומטית אם יש עדכון חדש ויתקין אותו.
גם צפוי תיקון באגים של פיירפוקס לתקלה השנייה באפס יום שהתגלתה פגע בדפדפן Tor בימים הקרובים.
מאז היום עודכן צוות דפדפני Tor לגרסה 8.5.2, הכוללת את התיקון לשגיאת האפס יום הראשונה שהתגלתה בסניף פיירפוקס.