Wczoraj jeden z naszych kolegów zgłosił znalezione błędy które mają wpływ na wszystkie wersje przeglądarki Firefox, ponieważ w przeglądarce wykryto lukę zero-day i jest aktywnie wykorzystywany w atakach ukierunkowanych. Naruszenie bezpieczeństwa zostało ujawnione przez Google Project Zero i dotyczy wszystkich wersji Firefoksa.
Teraz dzień później Mozilla ponownie prosi wszystkich użytkowników przeglądarki o ponowną aktualizację do nowej, wyższej wersji, która jest już wydana, to z tego powodu, że w przeglądarce wykryto drugą lukę zero-day.
Drugi błąd zero-day w Firefoksie
Mozilla wypuściła przeglądarkę Firefox 67.0.4, aby naprawić lukę zabezpieczenia, które były wykorzystywane w ukierunkowanych atakach na firmy kryptowalutowe, takie jak Coinbase. Użytkownicy przeglądarki Firefox powinni natychmiast zainstalować tę aktualizację.
Znajduje się za przeglądarką Firefox 67.0.3 i 60.7.1, Wydano dodatkowe wersje naprawcze 67.0.4 i 60.7.2, eliminując drugą lukę zero-day (CVE-2019-11708), która pozwala ominąć mechanizm izolacji piaskownicy przeglądarki.
Problem pozwala na użycie polecenia polecenia do otwarcia manipulacji połączeniami IPC do otwierania treści WWW w procesie potomnym, który nie korzysta z piaskownicy.
W połączeniu z inną luką, ten problem pozwala ominąć wszystkie poziomy ochrony i organizować wykonanie kodu w systemie.
Przed naprawą luki zidentyfikowane w dwóch ostatnich wersjach przeglądarki Firefox Zostały wykorzystane do przeprowadzenia ataku na pracowników giełdy kryptowalut Coinbase, a także do rozprzestrzeniania złośliwego oprogramowania na platformę macOS.
Niedostateczna weryfikacja parametrów przekazanych za pomocą komunikatu Prompt: Open IPC między procesem podrzędnym a procesem nadrzędnym może spowodować, że proces nadrzędny nieobjęty piaskownicą otworzy zawartość WWW wybraną przez zaatakowany proces potomny. W połączeniu z dodatkowymi lukami może to spowodować wykonanie dowolnego kodu na komputerze użytkownika.
W tym tygodniu Mozilla wypuściła przeglądarkę Firefox 67.0.3, aby naprawić krytyczną lukę umożliwiającą zdalne wykonanie kodu, która była używana w atakach ukierunkowanych.
Od czasu jego udostępnienia odkryto, że luka i inna nieznana osoba zostały połączone w łańcuch w ramach fałszywego ataku mającego na celu usunięcie i uruchomienie złośliwych ładunków na komputerach ofiary.
Zarzuca się, że Informacje o pierwszej luce zostały przesłane do Mozilli przez uczestnika Google Project Zero 15 kwietnia i naprawiono 10 czerwca w wersji beta Firefoksa 68 (atakujący prawdopodobnie przeanalizowali opublikowane rozwiązanie i przygotowali exploita wykorzystując kolejną lukę w celu uniknięcia izolacji piaskownicy).
Jak zaktualizować przeglądarkę Firefox w systemie Linux?
Aby zaktualizować nowe wersje naprawcze przeglądarki do tej, a nawet zainstalować ją, jeśli jej nie masz, możesz to zrobić, postępując zgodnie z instrukcjami, które udostępniamy poniżej.
Użytkownicy Ubuntu, Linux Mint lub innej pochodnej Ubuntu, Mogą zainstalować lub zaktualizować do tej nowej wersji za pomocą PPA przeglądarki.
Można to dodać do systemu, otwierając terminal i wykonując w nim następujące polecenie:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Zrobiono to teraz, wystarczy zainstalować za pomocą:
sudo apt install firefox
do wszystkie inne dystrybucje Linuksa mogą pobierać pakiety binarne z poniższy link.
Lub sprawdź, czy nowa wersja została już włączona do repozytoriów Twojej dystrybucji.
Inny sposób aktualizacji przeglądarki Do najnowszej wersji jest otwieranie przeglądarki, tutaj użytkownicy mogą ręcznie wyszukiwać nowe aktualizacje w menu Firefoksa -> Pomoc -> O programie Firefox. Firefox automatycznie sprawdzi dostępność nowej aktualizacji i zainstaluje ją.
również Oczekiwana jest poprawka błędu przeglądarki Firefox wykryto błąd drugiego dnia zerowego trafił do przeglądarki Tor w ciągu najbliższych kilku dni.
Od dzisiaj zespół Tor Browser został zaktualizowany do wersji 8.5.2, która zawiera poprawkę dla pierwszego błędu dnia zerowego wykrytego w gałęzi Firefox.