Вчера один из наших коллег сообщил о найденных ошибках которые влияют на все версии Firefox, потому что в браузере обнаружена уязвимость нулевого дня и активно используется в целевых атаках. Нарушение безопасности было обнаружено через Google Project Zero и затрагивает все версии Firefox.
Теперь, спустя день, Mozilla снова просит всех пользователей браузера снова обновить на новую улучшенную версию, которая уже выпущена, это по той причине, что в браузере была обнаружена вторая уязвимость нулевого дня.
Вторая ошибка нулевого дня в Firefox
Mozilla выпустила Firefox 67.0.4 для исправления уязвимости безопасность, которая использовалась в целевых атаках на криптовалютные фирмы, такие как Coinbase. Пользователи Firefox должны немедленно установить это обновление.
Расположен за Firefox 67.0.3 и 60.7.1, Были выпущены дополнительные корректирующие версии 67.0.4 и 60.7.2, устраняющие уязвимость второго нулевого дня (CVE-2019-11708), позволяющую обойти механизм изоляции песочницы браузера.
Проблема позволяет использовать запрос команды для открытия манипуляции вызовом IPC. для открытия веб-содержимого в дочернем процессе, не использующем песочницу.
В сочетании с другой уязвимостью, эта проблема позволяет обойти все уровни защиты и организовать выполнение кода в системе.
Перед ремонтом, уязвимости, выявленные в последних двух версиях Firefox Они использовались для организации атаки на сотрудников криптовалютной биржи Coinbase, а также для распространения вредоносного ПО для платформы macOS.
Недостаточная проверка параметров, переданных с сообщением Prompt: Open IPC между дочерним и родительским процессами, может привести к тому, что родительский процесс без изолированной программной среды откроет веб-контент, выбранный скомпрометированным дочерним процессом. В сочетании с дополнительными уязвимостями это может привести к выполнению произвольного кода на компьютере пользователя.
На этой неделе Mozilla выпустила Firefox 67.0.3, чтобы исправить критическую уязвимость удаленного выполнения кода, которая использовалась в целевых атаках.
С момента его выпуска уязвимость и другое неизвестное были обнаружены как часть спуфинговой атаки для удаления и выполнения вредоносных полезных нагрузок на машинах жертвы.
Утверждается, что Информация о первой уязвимости была отправлена в Mozilla участником Google Project Zero 15 апреля и исправлено 10 июня в бета-версии Firefox 68 (вероятно, злоумышленники проанализировали опубликованное решение и подготовили эксплойт, используя другую уязвимость, чтобы избежать изоляции песочницы).
Как обновить браузер Firefox в Linux?
Чтобы обновить новые исправляющие версии браузера до этой и даже установить его, если у вас его нет, вы можете сделать это, следуя инструкциям, которые мы делимся ниже.
Пользователи Ubuntu, Linux Mint или другой производной Ubuntu, Они могут установить или обновить эту новую версию с помощью PPA браузера.
Его можно добавить в систему, открыв терминал и выполнив в нем следующую команду:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Сделано это, теперь им просто нужно установить:
sudo apt install firefox
к все остальные дистрибутивы Linux могут загружать двоичные пакеты от по следующей ссылке.
Или проверьте, была ли новая версия уже включена в репозитории вашего дистрибутива.
Другой способ обновить браузер Последняя версия - это открытие браузера, здесь пользователи могут вручную искать новые обновления в меню Firefox -> Справка -> О Firefox. Firefox автоматически проверит наличие нового обновления и установит его.
также Ожидается исправление ошибки Firefox за второй нулевой день обнаружена неисправность поразит браузер Tor в ближайшие несколько дней.
С сегодняшнего дня команда Tor Browser обновилась до версии 8.5.2, которая включает исправление для первой ошибки нулевого дня, обнаруженной в ветке Firefox.