Vakar viens no mūsu kolēģiem ziņots par dažām atrastām kļūdām kas ietekmē visas Firefox versijas, jo pārlūkprogrammā tika atklāta nulles dienas ievainojamība un to aktīvi izmanto mērķtiecīgos uzbrukumos. Drošības pārkāpums tika atklāts, izmantojot Google Project Zero, un tas ietekmē visas Firefox versijas.
Tagad dienu vēlāk Mozilla atkal lūdz visus pārlūkprogrammas lietotājus atjaunināt vēlreiz uz jaunu augstāku versiju, kas jau ir izlaista, šī ar iemeslu, ka pārlūkprogrammā tika atklāta otrās nulles dienas ievainojamība.
Otra nulles dienas kļūda Firefox
Mozilla ir izlaidusi Firefox 67.0.4, lai novērstu ievainojamību drošība, kas izmantota mērķtiecīgos uzbrukumos pret kriptovalūtu firmām, piemēram, Coinbase. Firefox lietotājiem šis atjauninājums ir jāinstalē nekavējoties.
Atrodas aiz Firefox 67.0.3 un 60.7.1, Tika izlaistas papildu korektīvās versijas 67.0.4 un 60.7.2, novēršot otro nulles dienas ievainojamību (CVE-2019-11708), kas ļauj apiet pārlūka smilškastes izolācijas mehānismu.
Problēma ļauj izmantot komandu pieprasījumu, lai atvērtu manipulācijas ar IPC zvaniem lai atvērtu tīmekļa saturu bērna procesā, kurā netiek izmantota smilškaste.
Apvienojumā ar citu ievainojamību šis jautājums ļauj apiet visus aizsardzības līmeņus un organizēt koda izpildi sistēmā.
Pirms remonta, pēdējās divās Firefox versijās konstatētās ievainojamības Tie tika izmantoti, lai sarīkotu uzbrukumu kriptovalūtas apmaiņas Coinbase darbiniekiem, kā arī tika izmantoti ļaunprogrammatūras izplatīšanai macOS platformai.
Nepietiekama parametru pārbaude, kas nodota, izmantojot uzvedni: Atvērt IPC ziņojumu starp bērna un vecāku procesiem, vecāku process, kas nav ievietots smilškastē, var atvērt tīmekļa saturu, kuru izvēlējies apdraudēts pakārtots process. Kopā ar papildu ievainojamībām tas var izraisīt patvaļīgu koda izpildi lietotāja datorā.
Šonedēļ Mozilla izlaida Firefox 67.0.3, lai novērstu kritisku attālās koda izpildes ievainojamību, kas tika izmantota mērķtiecīgos uzbrukumos.
Kopš tās izlaišanas tika atklāts, ka ievainojamība un vēl viens nezināms ir saķēdēti kā daļa no krāpšanās uzbrukuma, lai noņemtu un palaistu ļaunprātīgas kravas upura mašīnās.
Tiek apgalvots, ka Informāciju par pirmo ievainojamību Mozilla nosūtīja Google Project Zero dalībnieks 15. aprīlī un fiksēts 10. jūnijā Firefox 68 beta versijā (uzbrucēji, iespējams, analizēja publicēto risinājumu un sagatavoja ekspluatāciju, izmantojot citu ievainojamību, lai izvairītos no smilšu kastes izolācijas).
Kā atjaunināt Firefox pārlūku Linux?
Lai atjauninātu pārlūkprogrammas jaunās koriģējošās versijas uz šo un pat instalētu, ja jums to nav, varat to izdarīt, izpildot tālāk sniegtos norādījumus.
Ubuntu, Linux Mint vai kāda cita Ubuntu atvasinājuma lietotāji, Viņi var instalēt vai atjaunināt šo jauno versiju, izmantojot pārlūkprogrammas PPA.
To var pievienot sistēmai, atverot termināli un izpildot tajā komandu:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Darīts tagad, viņiem vienkārši jāinstalē ar:
sudo apt install firefox
līdz visi pārējie Linux izplatījumi var lejupielādēt bināros pakotnes no šo saiti.
Vai arī pārbaudiet, vai jaunā versija jau ir iekļauta jūsu izplatītāja krātuvēs.
Vēl viens veids, kā atjaunināt pārlūku Jaunākā versija ir, atverot pārlūkprogrammu, šeit lietotāji var manuāli meklēt jaunus atjauninājumus izvēlnē Firefox -> Palīdzība -> Par Firefox. Firefox automātiski pārbaudīs jaunu atjauninājumu un to instalēs.
arī Gaidāms Firefox kļūdu labojums par otro nulles dienas atklāto kļūdu nākamajās dienās nospiediet Tor pārlūku.
Kopš šodienas Tor pārlūka komanda tika atjaunināta uz versiju 8.5.2, kas ietver pirmās nulles dienas kļūdas labojumu, kas tika atklāts Firefox filiālē.