Vakar vienas iš mūsų kolegų pranešė apie kai kurias rastas klaidas kurie veikia visas „Firefox“ versijas, nes naršyklėje buvo aptiktas nulinės dienos pažeidžiamumas ir yra aktyviai išnaudojamas taikant atakas. Saugumo pažeidimas buvo atskleistas per „Google“ projektą „Zero“ ir turi įtakos visoms „Firefox“ versijoms.
Dabar po dienos „Mozilla“ vėl prašo visų naršyklės vartotojų atnaujinti į naują geresnę versiją, kuri jau išleista, tai su priežastimi, kad naršyklėje buvo aptiktas antros nulio dienos pažeidžiamumas.
Antroji „Firefox“ nulio dienos klaida
„Mozilla“ išleido „Firefox 67.0.4“ spragai pašalinti saugumas, kuris buvo panaudotas taikant tikslines atakas prieš kriptovaliutų firmas, tokias kaip „Coinbase“. „Firefox“ vartotojai turėtų nedelsdami įdiegti šį naujinimą.
Įsikūręs už „Firefox 67.0.3“ ir „60.7.1“, Buvo išleistos papildomos pataisomosios versijos 67.0.4 ir 60.7.2, pašalinus antrą nulinės dienos pažeidžiamumą (CVE-2019-11708), kuris leidžia apeiti naršyklės smėlio dėžės izoliavimo mechanizmą.
Problema leidžia naudoti komandos užklausą manipuliavimui IPC skambučiais atidaryti interneto turinį vaiko procese, kuriame nenaudojama smėlio dėžė.
Kartu su kitu pažeidžiamumu ši problema leidžia apeiti visus apsaugos lygius ir organizuoti kodo vykdymą sistemoje.
Prieš remontuodami pažeidžiamumas, nustatytas paskutinėse dviejose „Firefox“ versijose Jie buvo naudojami atakai prieš kriptovaliutos keitimo „Coinbase“ darbuotojus surengti ir taip pat buvo naudojami skleisti kenkėjiškas programas „MacOS“ platformai.
Nepakankamas parametrų, perduotų naudojant raginimą: Atviras IPC pranešimas tarp vaiko ir tėvų procesų, patikrinimas gali paskatinti ne smėlio dėžėje esantį tėvų procesą atidaryti žiniatinklio turinį, kurį pasirinko pažeistas vaiko procesas. Kartu su papildomomis spragomis vartotojo kompiuteryje gali būti paleistas savavališkas kodas.
Šią savaitę „Mozilla“ išleido „Firefox 67.0.3“, kad pašalintų kritinį nuotolinio kodo vykdymo pažeidžiamumą, kuris buvo naudojamas taikant atakas.
Nuo pat jo išleidimo buvo nustatyta, kad pažeidžiamumas ir dar vienas nežinomas dalykas buvo susieti grandine kaip sukčiavimo išpuolis, siekiant pašalinti ir paleisti kenksmingas aukos mašinų apkrovas.
Teigiama, kad Informaciją apie pirmąjį pažeidžiamumą „Mozilla“ atsiuntė „Google Project Zero“ dalyvis balandžio 15 d. ir birželio 10 d. pataisyta „Firefox 68“ beta versijoje (užpuolikai tikriausiai išanalizavo paskelbtą sprendimą ir paruošė išnaudojimą naudodami kitą pažeidžiamumą, kad būtų išvengta smėlio dėžės izoliacijos).
Kaip atnaujinti „Firefox“ naršyklę sistemoje „Linux“?
Norėdami atnaujinti naujas taisomąsias naršyklės versijas į šią ir netgi ją įdiegti, jei jų neturite, galite tai padaryti vadovaudamiesi toliau pateiktomis instrukcijomis.
„Ubuntu“, „Linux Mint“ ar kai kurių kitų „Ubuntu“ darinių vartotojai, Jie gali įdiegti arba atnaujinti šią naują versiją naudodami naršyklės PPA.
Tai galima pridėti prie sistemos atidarant terminalą ir vykdant šią komandą:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Atlikta tai dabar, jiems tereikia įdiegti:
sudo apt install firefox
į visi kiti „Linux“ paskirstymai gali atsisiųsti dvejetainius paketus nuo šią nuorodą.
Arba patikrinkite, ar nauja versija jau buvo įtraukta į jūsų platintojo saugyklas.
Kitas būdas atnaujinti naršyklę Naujausia versija yra atidarant naršyklę, čia vartotojai gali rankiniu būdu ieškoti naujų naujinimų „Firefox“ meniu -> Pagalba -> Apie „Firefox“. „Firefox“ automatiškai patikrins, ar nėra naujo naujinio, ir jį įdiegs.
taip pat Tikimasi ištaisyti „Firefox“ klaidas už antrą nulio dienos atrastą gedimą per kelias kitas dienas pasiekė „Tor“ naršyklę.
Nuo šiandien „Tor Browser“ komanda buvo atnaujinta į 8.5.2 versiją, kurioje yra pirmosios nulinės dienos klaidos, aptiktos „Firefox“ filiale, pataisymas.