昨日私たちの同僚の一人 見つかったいくつかのバグを報告しました Firefoxのすべてのバージョンに影響します。 ブラウザにゼロデイ脆弱性が発見されました 標的型攻撃で積極的に悪用されます。 セキュリティ違反はGoogleのProjectZeroを通じて明らかになり、Firefoxのすべてのバージョンに影響を及ぼします。
XNUMX日後、Mozillaは再びすべてのブラウザユーザーに再度更新するように要求します すでにリリースされている新しい優れたバージョンに、これ ブラウザでXNUMX番目のゼロデイ脆弱性が発見されたという理由で。
FirefoxのXNUMX番目のゼロデイバグ
Mozillaは脆弱性を修正するためにFirefox67.0.4をリリースしました Coinbaseなどの暗号通貨会社に対する標的型攻撃で使用されてきたセキュリティ。 Firefoxユーザーは、このアップデートをすぐにインストールする必要があります。
Firefox 67.0.3および60.7.1の背後にあり、 追加の修正バージョン67.0.4および60.7.2がリリースされ、ブラウザのサンドボックス分離メカニズムをバイパスできる2019番目のゼロデイ脆弱性(CVE-11708-XNUMX)が排除されました。
この問題により、コマンド要求を使用してIPC呼び出しの操作を開くことができます サンドボックスを使用しない子プロセスでWebコンテンツを開くため。
別の脆弱性と組み合わせると、 この問題により、すべてのレベルの保護をバイパスでき、 システム内のコードの実行を整理します。
修理される前に、 Firefoxの最後のXNUMXつのバージョンで特定された脆弱性 これらは、暗号通貨取引所Coinbaseの従業員に対する攻撃を仕掛けるために使用され、macOSプラットフォーム用のマルウェアを拡散するためにも使用されました。
プロンプトで渡されたパラメーターの検証が不十分:子プロセスと親プロセスの間でIPCメッセージを開くと、サンドボックス化されていない親プロセスが、侵害された子プロセスによって選択されたWebコンテンツを開く可能性があります。 追加の脆弱性と組み合わせると、ユーザーのコンピューター上で任意のコードが実行される可能性があります。
今週、MozillaはFirefox 67.0.3をリリースし、標的型攻撃で使用されていた重大なリモートコード実行の脆弱性を修正しました。
リリース以来、この脆弱性と別の未知のものが、被害者のマシン上の悪意のあるペイロードを削除して実行するためのなりすまし攻撃の一部として連鎖していることが発見されました。
それは主張されている 最初の脆弱性に関する情報は、Google ProjectZeroの参加者によってMozillaに送信されました 15月10日に、Firefox 68のベータ版でXNUMX月XNUMX日に修正されました(攻撃者はおそらく公開されたソリューションを分析し、サンドボックスの分離を回避するために別の脆弱性を使用してエクスプロイトを準備しました)。
LinuxでFirefoxブラウザを更新するにはどうすればよいですか?
ブラウザの新しい修正バージョンをこれに更新し、お持ちでない場合でもインストールするには、以下で共有する手順に従ってください。
Ubuntu、Linux Mint、またはUbuntuの他の派生物のユーザー、 彼らは、ブラウザのPPAを使用して、この新しいバージョンをインストールまたは更新できます。
これは、ターミナルを開いて次のコマンドを実行することでシステムに追加できます。
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
今これを行って、彼らはただインストールする必要があります:
sudo apt install firefox
へ 他のすべてのLinuxディストリビューションは、バイナリパッケージをダウンロードできます から 次のリンク。
または、新しいバージョンがすでにディストリビューションのリポジトリに組み込まれているかどうかを確認してください。
ブラウザを更新する別の方法 最新バージョンでは、ブラウザを開くことで、ユーザーはFirefoxメニュー->ヘルプ-> Firefoxについてで新しいアップデートを手動で検索できます。 Firefoxは自動的に新しいアップデートをチェックし、インストールします。
さらに Firefoxのバグ修正が期待されています 発見されたXNUMX番目のゼロデイ障害 今後数日でTorブラウザをヒットします。
本日以降、Tor Browserチームはバージョン8.5.2に更新されました。これには、Firefoxブランチで検出された最初のゼロデイエラーの修正が含まれています。