Včeraj eden od naših kolegov prijavil nekaj najdenih napak ki vplivajo na vse različice Firefoxa, ker v brskalniku je bila odkrita ranljivost nič dni in se aktivno izkorišča v usmerjenih napadih. Varnostna kršitev je bila razkrita z Googlovim projektom Zero in vpliva na vse različice Firefoxa.
Zdaj dan pozneje Mozilla ponovno prosi vse uporabnike brskalnika, naj znova posodobijo na novo vrhunsko različico, ki je že izdana, to z razlogom, da je bila v brskalniku odkrita ranljivost drugega ničelnega dne.
Druga napaka ničelnega dne v Firefoxu
Mozilla je izdala Firefox 67.0.4 za odpravo ranljivosti varnost, ki je bila uporabljena pri usmerjenih napadih na podjetja za kriptovalute, kot je Coinbase. Uporabniki Firefoxa bi morali to posodobitev namestiti takoj.
Nahaja se za Firefoxom 67.0.3 in 60.7.1, Izšli sta dodatni popravljalni različici 67.0.4 in 60.7.2, ki odpravljajo ranljivost drugega dne (CVE-2019-11708), ki omogoča zaobidje izolacijskega mehanizma brskalnika.
Težava omogoča uporabo ukazne zahteve za odpiranje manipulacije s klici IPC odpreti spletno vsebino v otroškem postopku, ki ne uporablja peskovnika.
V kombinaciji z drugo ranljivostjo, ta številka vam omogoča, da obidete vse ravni zaščite in organizirati izvajanje kode v sistemu.
Pred popravilom ranljivosti, ugotovljene v zadnjih dveh različicah Firefoxa Uporabili so jih za napad na zaposlene na borzi kriptovalut Coinbase, uporabljali pa so jih tudi za širjenje zlonamerne programske opreme za platformo macOS.
Nezadostno preverjanje parametrov, posredovanih s pozivom: Odprto sporočilo IPC med nadrejenim in nadrejenim procesom lahko povzroči, da nadrejeni postopek, ki ni v peskovniku, odpre spletno vsebino, ki jo izbere ogroženi podrejeni postopek. V kombinaciji z dodatnimi ranljivostmi lahko to povzroči izvršitev poljubne kode v uporabnikovem računalniku.
Ta teden je Mozilla izdala Firefox 67.0.3, da bi odpravila kritično ranljivost oddaljenega izvajanja kode, ki se je uporabljala pri usmerjenih napadih.
Od izdaje so odkrili, da sta ranljivost in še ena neznanka povezani v verigo napadov, da bi odstranili in izvršili zlonamerni tovor na žrtevinih strojih.
Trdi se, da Informacije o prvi ranljivosti je Mozilli poslal udeleženec Google Project Zero 15. aprila in popravljen 10. junija v beta različici Firefoxa 68 (napadalci so verjetno analizirali objavljeno rešitev in pripravili podvig z drugo ranljivostjo, da bi se izognili izolaciji peskovnika).
Kako posodobiti brskalnik Firefox v Linuxu?
Če želite na to posodobiti nove popravljalne različice brskalnika in celo namestiti, če ga nimate, lahko to storite tako, da sledite spodnjim navodilom.
Uporabniki Ubuntuja, Linux Mint ali katerega koli drugega derivata Ubuntuja, To novo različico lahko namestijo ali posodobijo s pomočjo PPA brskalnika.
Tega lahko v sistem dodate tako, da odprete terminal in v njem izvedete naslednji ukaz:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Končano, zdaj jih je treba namestiti z:
sudo apt install firefox
za vse druge distribucije Linuxa lahko prenesejo binarne pakete iz naslednjo povezavo.
Ali pa preverite, ali je nova različica že vključena v odlagališča vašega distro.
Drug način za posodobitev brskalnika Najnovejša različica je z odprtjem brskalnika, kjer lahko uporabniki ročno iščejo nove posodobitve v Firefoxovem meniju -> Pomoč -> O Firefoxu. Firefox bo samodejno preveril, ali je na voljo nova posodobitev, in jo namestil.
prav tako Pričakuje se odprava napak Firefoxa za drugi nič odkrito napako v naslednjih dneh prišel v brskalnik Tor.
Od danes je bila ekipa brskalnika Tor posodobljena na različico 8.5.2, ki vključuje popravek prve napake z ničelnim dnem, ki je bila zaznana v podružnici Firefox.