Igår en av våra kollegor rapporterade några buggar hittade som påverkar alla versioner av Firefox på grund av en noll dag sårbarhet upptäcktes i webbläsaren och utnyttjas aktivt i riktade attacker. Säkerhetsöverträdelsen avslöjades genom Googles Project Zero och påverkar alla versioner av Firefox.
Nu en dag senare ber Mozilla igen alla webbläsaranvändare att uppdatera igen till en ny överlägsen version som redan har släppts, detta med anledningen till att en andra nolldagssårbarhet upptäcktes i webbläsaren.
En andra noll dagars bugg i Firefox
Mozilla har släppt Firefox 67.0.4 för att åtgärda en sårbarhet säkerhet som har använts i riktade attacker mot kryptovalutaföretag som Coinbase. Firefox-användare bör installera den här uppdateringen omedelbart.
Ligger bakom Firefox 67.0.3 och 60.7.1, Ytterligare korrigerande versioner 67.0.4 och 60.7.2 släpptes, vilket eliminerade den andra nolldagens sårbarhet (CVE-2019-11708), vilket gör det möjligt att kringgå webbläsarens isoleringsmekanism.
Problemet gör det möjligt att använda kommandoförfrågan för att öppna IPC-samtalsmanipulation för att öppna webbinnehåll i en barnprocess som inte använder en sandlåda.
Kombinerat med en annan sårbarhet, den här frågan låter dig kringgå alla nivåer av skydd och organisera körningen av koden i systemet.
Innan du reparerar, de sårbarheter som identifierats i de två senaste versionerna av Firefox De användes för att inleda en attack mot anställda i Coinbase för kryptovalutautbyte och användes också för att sprida skadlig kod för macOS-plattformen.
Otillräcklig verifiering av parametrarna som skickats med Prompt: Öppet IPC-meddelande mellan underordnade och föräldraprocesser kan orsaka att den överordnade processen som inte är sandbox öppnar det webbinnehåll som valts av en komprometterad underordnad process. I kombination med ytterligare sårbarheter kan detta resultera i körning av godtycklig kod på användarens dator.
Den här veckan släppte Mozilla Firefox 67.0.3 för att fixa en kritisk sårbarhet för fjärrkörning av koder som användes i riktade attacker.
Sedan det släpptes upptäcktes att sårbarheten och en annan okänd kedjades samman som en del av en falsk attack för att ta bort och utföra skadliga nyttolaster på offrets maskiner.
Det påstås att Information om den första sårbarheten skickades till Mozilla av en Google Project Zero-deltagare den 15 april och fixades den 10 juni i betaversionen av Firefox 68 (angriparna analyserade förmodligen den publicerade lösningen och förberedde utnyttjandet med en annan sårbarhet för att undvika isolering av sandlådor).
Hur uppdaterar jag Firefox-webbläsaren på Linux?
För att uppdatera de nya korrigerande versionerna av webbläsaren till den här och till och med installera den om du inte har den kan du göra det genom att följa instruktionerna vi delar nedan.
Användare av Ubuntu, Linux Mint eller något annat derivat av Ubuntu, De kan installera eller uppdatera till den här nya versionen med hjälp av webbläsarens PPA.
Detta kan läggas till systemet genom att öppna en terminal och utföra följande kommando i den:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Gjort detta nu måste de bara installera med:
sudo apt install firefox
till alla andra Linux-distributioner kan ladda ner binära paket från följande länk.
Eller kontrollera om den nya versionen redan har införlivats i din distors förråd.
Ett annat sätt att uppdatera webbläsaren Den senaste versionen är genom att öppna webbläsaren, här kan användare manuellt söka efter nya uppdateringar i Firefox-menyn -> Hjälp -> Om Firefox. Firefox söker automatiskt efter en ny uppdatering och installerar den.
också Firefox bug fix förväntas för det andra nolldagarsfelet upptäckt slå Tor-webbläsaren de närmaste dagarna.
Sedan idag uppdaterades Tor Browser-teamet till version 8.5.2, som innehåller korrigeringen för det första noll-dag-felet som upptäcktes i Firefox-grenen.