Kahapon isa sa mga kasamahan namin iniulat ang ilang mga bug na natagpuan nakakaapekto sa lahat ng mga bersyon ng Firefox sapagkat natuklasan ang isang mahina na kahinaan sa browser at aktibong pinagsamantalahan sa mga naka-target na pag-atake. Ang paglabag sa seguridad ay isiniwalat sa pamamagitan ng Project Zero ng Google at nakakaapekto sa lahat ng mga bersyon ng Firefox.
Ngayon sa isang araw, hiniling muli ni Mozilla ang lahat ng mga gumagamit ng browser na mag-update muli sa isang bagong superior bersyon na inilabas na, ito na may dahilan na ang pangalawang zero araw na kahinaan ay natuklasan sa browser.
Isang pangalawang zero day bug sa Firefox
Inilabas ng Mozilla ang Firefox 67.0.4 upang ayusin ang isang kahinaan seguridad na ginamit sa naka-target na pag-atake laban sa mga cryptocurrency firm tulad ng Coinbase. Dapat i-install kaagad ng mga gumagamit ng Firefox ang pag-update na ito.
Matatagpuan sa likod ng Firefox 67.0.3 at 60.7.1, Ang mga karagdagang bersyon ng pagwawasto 67.0.4 at 60.7.2 ay pinakawalan, tinanggal ang pangalawang zero day na kahinaan (CVE-2019-11708), na nagpapahintulot sa pag-bypass sa mekanismo ng paghihiwalay ng sandbox ng browser.
Pinapayagan ng problema na gamitin ang hiling sa utos upang buksan ang pagmamanipula ng mga tawag sa IPC upang buksan ang nilalaman ng web sa isang proseso ng bata na hindi gumagamit ng isang sandbox.
Pinagsama sa isa pang kahinaan, pinapayagan ka ng isyung ito na lampasan ang lahat ng mga antas ng proteksyon at ayusin ang pagpapatupad ng code sa system.
Bago ayusin, ang mga kahinaan na nakilala sa huling dalawang bersyon ng Firefox Ginamit ang mga ito upang mag-atake laban sa mga empleyado ng cryptocurrency exchange Coinbase at ginamit din upang kumalat ng malware para sa macOS platform.
Ang hindi sapat na pag-verify ng mga parameter na naipasa sa Prompt: Buksan ang mensahe ng IPC sa pagitan ng proseso ng bata at magulang ay maaaring maging sanhi ng proseso na hindi na sandboxed na magulang upang buksan ang nilalamang web na pinili ng isang nakompromisong proseso ng bata. Kapag isinama sa mga karagdagang kahinaan, maaaring magresulta ito sa pagpapatupad ng di-makatwirang code sa computer ng gumagamit.
Sa linggong ito, pinakawalan ng Mozilla ang Firefox 67.0.3 upang ayusin ang isang kritikal na kahinaan sa pagpapatupad ng remote code na ginagamit sa mga naka-target na pag-atake.
Mula nang palabasin ito, ang kahinaan at isa pang hindi kilala ay natuklasan na nakakadena bilang bahagi ng isang spoofing na atake upang alisin at patakbuhin ang mga nakakahamak na kargamento sa mga makina ng biktima.
Sinasabing iyon ay Ang impormasyon tungkol sa unang kahinaan ay ipinadala sa Mozilla ng isang kalahok sa Google Project Zero noong Abril 15 at naayos noong Hunyo 10 sa beta na bersyon ng Firefox 68 (malamang na pinag-aralan ng mga umaatake ang nai-publish na solusyon at inihanda ang pagsasamantala gamit ang isa pang kahinaan upang maiwasan ang paghihiwalay ng sandbox).
Paano i-update ang Firefox browser sa Linux?
Upang mai-update ang mga bagong bersyon ng pagwawasto ng browser sa isang ito at i-install din ito kung wala ka nito, magagawa mo ito sa pamamagitan ng pagsunod sa mga tagubilin na ibinabahagi namin sa ibaba.
Ang mga gumagamit ng Ubuntu, Linux Mint o ilang iba pang hango ng Ubuntu, Maaari silang mag-install o mag-update sa bagong bersyon sa tulong ng PPA ng browser.
Maaari itong idagdag sa system sa pamamagitan ng pagbubukas ng isang terminal at pagpapatupad ng sumusunod na utos dito:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Tapos na ngayon kailangan lang nilang mag-install ng:
sudo apt install firefox
Sa ang lahat ng iba pang mga pamamahagi ng Linux ay maaaring mag-download ng mga binary package mula sa ang sumusunod na link.
O suriin kung ang bagong bersyon ay naisama na sa mga repository ng iyong distro.
Isa pang paraan upang ma-update ang browser Sa pinakabagong bersyon ay sa pamamagitan ng pagbubukas ng browser, dito ang mga gumagamit ay maaaring manu-manong maghanap ng mga bagong update sa menu ng Firefox -> Tulong -> Tungkol sa Firefox. Awtomatiko na susuriin ng Firefox ang isang bagong update at mai-install ito.
Rin Inaasahan ang pag-aayos ng bug ng Firefox para sa pangalawang zero day fault na natuklasan pindutin ang Tor browser sa mga susunod na araw.
Mula ngayon, ang koponan ng Tor Browser ay na-update sa bersyon 8.5.2, na kinabibilangan ng pag-aayos para sa unang error na zero day na nakita sa sangay ng Firefox.