Ontem um de nossos colegas relatou alguns bugs encontrados que afetam todas as versões do Firefox porque uma vulnerabilidade de dia zero foi descoberta no navegador e é explorado ativamente em ataques direcionados. A violação de segurança foi revelada por meio do Project Zero do Google e afeta todas as versões do Firefox.
Agora, um dia depois, o Mozilla novamente pede a todos os usuários do navegador para atualizar novamente para uma nova versão superior que já foi lançada, esta com o motivo de uma segunda vulnerabilidade de dia zero ter sido descoberta no navegador.
Um segundo bug de dia zero no Firefox
A Mozilla lançou o Firefox 67.0.4 para corrigir uma vulnerabilidade segurança que tem sido usada em ataques direcionados contra empresas de criptomoeda como a Coinbase. Os usuários do Firefox devem instalar esta atualização imediatamente.
Localizado atrás do Firefox 67.0.3 e 60.7.1, Versões corretivas adicionais 67.0.4 e 60.7.2 foram lançadas, eliminando a segunda vulnerabilidade de dia zero (CVE-2019-11708), que permite contornar o mecanismo de isolamento sandbox do navegador.
O problema permite usar o pedido de comando para abrir a manipulação de chamadas IPC para abrir o conteúdo da web em um processo filho que não usa uma caixa de proteção.
Combinado com outra vulnerabilidade, este problema permite que você ignore todos os níveis de proteção e organizar a execução do código no sistema.
Antes de ser reparado, as vulnerabilidades identificadas nas duas últimas versões do Firefox Eles foram usados para encenar um ataque contra funcionários da troca de criptomoedas Coinbase e também para espalhar malware para a plataforma macOS.
A verificação insuficiente dos parâmetros passados com o Prompt: Abrir mensagem IPC entre os processos filho e pai pode fazer com que o processo pai fora da área restrita abra o conteúdo da web escolhido por um processo filho comprometido. Quando combinado com vulnerabilidades adicionais, isso pode resultar na execução de código arbitrário no computador do usuário.
Esta semana, a Mozilla lançou o Firefox 67.0.3 para corrigir uma vulnerabilidade crítica de execução remota de código que estava sendo usada em ataques direcionados.
Desde o seu lançamento, descobriu-se que a vulnerabilidade e outra incógnita foram encadeadas como parte de um ataque de spoofing para remover e executar cargas maliciosas nas máquinas da vítima.
É alegado que As informações sobre a primeira vulnerabilidade foram enviadas ao Mozilla por um participante do Google Project Zero em 15 de abril e corrigido em 10 de junho na versão beta do Firefox 68 (os invasores provavelmente analisaram a solução publicada e prepararam a exploração usando outra vulnerabilidade para evitar o isolamento da sandbox).
Como atualizar o navegador Firefox no Linux?
Para atualizar as novas versões corretivas do navegador para este e até mesmo instalá-lo se não o tiver, você pode fazer isso seguindo as instruções que compartilhamos abaixo.
Usuários do Ubuntu, Linux Mint ou algum outro derivado do Ubuntu, Eles podem instalar ou atualizar para esta nova versão com a ajuda do PPA do navegador.
Isso pode ser adicionado ao sistema abrindo um terminal e executando o seguinte comando nele:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Feito isso agora, eles só precisam instalar com:
sudo apt install firefox
Pára todas as outras distribuições Linux podem baixar os pacotes binários de o seguinte link.
Ou verifique se a nova versão já foi incorporada aos repositórios de sua distro.
Outra forma de atualizar o navegador Para a versão mais recente é abrindo o navegador, aqui os usuários podem procurar manualmente por novas atualizações no menu do Firefox -> Ajuda -> Sobre o Firefox. O Firefox irá verificar automaticamente se há uma nova atualização e instalá-la.
também Espera-se correção de bug do Firefox para a segunda falha de dia zero descoberta acesse o navegador Tor nos próximos dias.
Desde hoje, a equipe do navegador Tor foi atualizada para a versão 8.5.2, que inclui a correção para o primeiro erro de dia zero detectado no branch do Firefox.