Ieri unul dintre colegii noștri a raportat câteva erori găsite care afectează toate versiunile Firefox deoarece a fost descoperită o vulnerabilitate de zero zile în browser și este exploatat activ în atacuri vizate. Încălcarea securității a fost dezvăluită prin Project Zero de la Google și afectează toate versiunile Firefox.
Acum o zi mai târziu, Mozilla cere din nou tuturor utilizatorilor de browser să se actualizeze din nou la o nouă versiune superioară care este deja lansată, aceasta motivul pentru care a fost descoperită o a doua vulnerabilitate de zero zile în browser.
O a doua eroare de zero zile în Firefox
Mozilla a lansat Firefox 67.0.4 pentru a remedia o vulnerabilitate securitate care a fost utilizată în atacuri vizate împotriva firmelor de criptomonede, cum ar fi Coinbase. Utilizatorii Firefox ar trebui să instaleze imediat această actualizare.
Situat în spatele Firefox 67.0.3 și 60.7.1, Au fost lansate versiuni corective suplimentare 67.0.4 și 60.7.2, eliminând a doua vulnerabilitate de zero zile (CVE-2019-11708), care permite ocolirea mecanismului de izolare a sandbox-ului browserului.
Problema permite utilizarea cererii de comandă pentru a deschide manipularea apelurilor IPC pentru a deschide conținut web într-un proces copil care nu folosește un sandbox.
Combinat cu o altă vulnerabilitate, această problemă vă permite să ocoliți toate nivelurile de protecție și organizează execuția codului în sistem.
Înainte de a fi reparat, vulnerabilitățile identificate în ultimele două versiuni ale Firefox Acestea au fost folosite pentru a organiza un atac împotriva angajaților de schimb de criptomonede Coinbase și, de asemenea, au fost folosite pentru a răspândi malware pentru platforma macOS.
Verificarea insuficientă a parametrilor trecuți cu Promptul: mesajul IPC deschis între procesele copil și părinte poate determina procesul părinte care nu este în sandbox să deschidă conținutul web ales de un proces copil compromis. Atunci când este combinat cu vulnerabilități suplimentare, acest lucru ar putea duce la executarea unui cod arbitrar pe computerul utilizatorului.
În această săptămână, Mozilla a lansat Firefox 67.0.3 pentru a remedia o vulnerabilitate critică de execuție a codului la distanță care era utilizată în atacuri vizate.
De la lansare, sa descoperit că vulnerabilitatea și o altă necunoscută au fost înlănțuite ca parte a unui atac de falsificare pentru a elimina și a rula sarcini utile rău intenționate pe mașinile victimei.
Se presupune că Informațiile despre prima vulnerabilitate au fost trimise către Mozilla de către un participant la Google Project Zero pe 15 aprilie și fixat pe 10 iunie în versiunea beta a Firefox 68 (atacatorii probabil au analizat soluția publicată și au pregătit exploit-ul folosind o altă vulnerabilitate pentru a evita izolarea sandbox-ului).
Cum se actualizează browserul Firefox pe Linux?
Pentru a actualiza noile versiuni corective ale browserului la acesta și chiar a le instala dacă nu aveți, puteți face acest lucru urmând instrucțiunile pe care le împărtășim mai jos.
Utilizatorii Ubuntu, Linux Mint sau alți derivați ai Ubuntu, Aceștia pot instala sau actualiza la această nouă versiune cu ajutorul PPA al browserului.
Acest lucru poate fi adăugat la sistem deschizând un terminal și executând următoarea comandă în acesta:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Făcut acest lucru acum, trebuie doar să se instaleze cu:
sudo apt install firefox
la toate celelalte distribuții Linux pot descărca pachetele binare de la următorul link.
Sau verificați dacă noua versiune a fost deja încorporată în depozitele distribuției dvs.
O altă modalitate de actualizare a browserului Cea mai recentă versiune este prin deschiderea browserului, aici utilizatorii pot căuta manual noi actualizări în meniul Firefox -> Ajutor -> Despre Firefox. Firefox va verifica automat dacă există o nouă actualizare și o va instala.
de asemenea Este de așteptat remedierea erorilor Firefox pentru a doua eroare de zero zile descoperită apăsați browserul Tor în următoarele câteva zile.
De astăzi, echipa Tor Browser a fost actualizată la versiunea 8.5.2, care include soluția pentru prima eroare de zero zile care a fost detectată în ramura Firefox.