ในวันอังคาร Mozilla เขาเปิดตัว เวอร์ชันใหม่ของเบราว์เซอร์ของคุณ เรารู้ว่า Firefox รุ่นใหม่มาพร้อมกับความปลอดภัยที่ดีขึ้นเนื่องจาก ETP (การป้องกันการติดตามขั้นสูง) รวมฟังก์ชันใหม่ที่เปิดใช้งานตามค่าเริ่มต้น แต่เราไม่ได้ดูในส่วนที่พูดถึง การแก้ไขความปลอดภัยส่วนหนึ่งเป็นเพราะเวลาส่วนใหญ่พวกเขาพูดถึงข้อบกพร่องเล็กน้อย ถ้าเราดูแล้วมันเป็นเพราะ Canonical ได้เผยแพร่แล้ว รายงานของพวกเขาเองที่แสดงช่องโหว่ CVE หลายรายการที่ Mozilla ได้แก้ไขไว้ Firefox 69.
เพื่อให้เจาะจงมากขึ้น Firefox 69 แก้ไขช่องโหว่ 17 CVEทั้งหมดมีลำดับความสำคัญปานกลางตาม Canonical บางส่วนมีลำดับความสำคัญสูงตาม Mozilla เช่น CVE-2019-11741 o CVE-2019-9812. Canonical กล่าวว่า Ubuntu เวอร์ชัน 19.04, 18.04 LTS และ 16.04 LTS ถูกบุกรุก แต่ข้อบกพร่องด้านความปลอดภัยปรากฏบนหน้าเว็บความปลอดภัยของ Mozilla ดังนั้นฉันคิดว่าฉันไม่ผิดถ้าฉันบอกว่าทุกเวอร์ชันจะได้รับผลกระทบกับระบบปฏิบัติการ Linux หรือไม่
มีการค้นพบช่องโหว่ 17 ช่องของความเร่งด่วนปานกลางใน Firefox
- ข้อบกพร่องด้านความปลอดภัย CVE-2019-5849, CVE-2019-11734, CVE-2019-11735, CVE-2019-11737, CVE-2019-11738, CVE-2019-11740, CVE-2019-11742, CVE-2019-11743, CVE-2019-11744, CVE-2019-11746, CVE-2019-11748, CVE-2019-11749, CVE-2019-11750 และ CVE-2019-11752 ได้หากหลอกให้เราเปิดเว็บไซต์ที่ออกแบบมาเป็นพิเศษ ผู้โจมตีสามารถใช้ประโยชน์จากการกระทำนี้เพื่อรับข้อมูลที่ละเอียดอ่อนข้ามการป้องกัน CSP ข้ามข้อ จำกัด ที่มาเดียวกันทำการโจมตี XSS ทำให้เกิดการปฏิเสธการให้บริการ (DoS) หรือใช้รหัสโดยอำเภอใจ แพคเกจที่สมบูรณ์มา
- ผู้โจมตีสามารถใช้ข้อบกพร่อง CVE-2019-9812 ร่วมกับช่องโหว่อื่นเพื่อปิดใช้งานแซนด์บ็อกซ์
- ช่องโหว่ CVE-2019-11741 ทำให้ผู้โจมตีร่วมกับช่องโหว่อื่นเปิดการโจมตี XSS เพื่อแก้ไขการตั้งค่าเบราว์เซอร์
- และข้อบกพร่อง CVE-2019-11747 จะทำให้ผู้โจมตีสามารถข้ามการป้องกันที่ HSTS นำเสนอได้
เพื่อแก้ไขข้อบกพร่องเหล่านี้ทั้งหมดวิธีแก้ปัญหานั้นง่ายมาก: เราเปิดศูนย์ซอฟต์แวร์ของเราหรือแอปพลิเคชัน Software Update ของการแจกจ่ายที่ใช้ Ubuntu และ เราใช้การปรับปรุง. สิ่งที่เราสนใจคือ "firefox - 69.0 + build2-0ubuntu0" + เวอร์ชันของระบบปฏิบัติการ ลงมือทำทันทีสำหรับสิ่งที่อาจเกิดขึ้น