Вчора один з наших колег повідомив про виявлені помилки які впливають на всі версії Firefox, оскільки у браузері виявлено вразливість нульового дня і активно використовується в цілеспрямованих атаках. Порушення безпеки було виявлено через Google Project Zero і стосується всіх версій Firefox.
Через день Mozilla знову просить усіх користувачів браузера оновити знову до нової чудової версії, яка вже випущена, ця з тієї причини, що в браузері була виявлена вразливість другого нульового дня.
Друга помилка нульового дня у Firefox
Mozilla випустила Firefox 67.0.4 для виправлення уразливості безпека, яка була використана для цілеспрямованих атак на криптовалютні компанії, такі як Coinbase. Користувачі Firefox повинні негайно встановити це оновлення.
Розташований позаду Firefox 67.0.3 та 60.7.1, Випущено додаткові виправні версії 67.0.4 та 60.7.2, які усувають вразливість другого нульового дня (CVE-2019-11708), що дозволяє обійти механізм ізоляції пісочниці браузера.
Проблема дозволяє використовувати командний запит, щоб відкрити маніпуляції з викликами IPC відкрити веб-вміст у дочірньому процесі, який не використовує пісочницю.
У поєднанні з іншою вразливістю, це питання дозволяє обійти всі рівні захисту та організувати виконання коду в системі.
Перед ремонтом, вразливості, виявлені в останніх двох версіях Firefox Вони були використані для організації атаки на співробітників криптовалютної біржі Coinbase, а також для поширення шкідливого програмного забезпечення для платформи macOS.
Недостатня перевірка параметрів, переданих підказкою: Відкрити повідомлення IPC між дочірнім та батьківським процесами, може призвести до того, що батьківський процес, що не знаходиться у ізольованому середовищі, відкриває веб-вміст, вибраний компрометованим дочірнім процесом. У поєднанні з додатковими уразливостями це може призвести до виконання довільного коду на комп'ютері користувача.
Цього тижня Mozilla випустила Firefox 67.0.3, щоб виправити критичну вразливість віддаленого виконання коду, яка використовувалася у цільових атаках.
З моменту його випуску було виявлено, що вразливість та інша невідома були зв’язані ланцюгами в рамках атаки підміни для видалення та запуску шкідливого корисного навантаження на машинах жертви.
Стверджується, що Інформацію про першу вразливість надіслав Mozilla учасник Google Project Zero 15 квітня та виправлено 10 червня в бета-версії Firefox 68 (зловмисники, ймовірно, проаналізували опубліковане рішення та підготували експлойт, використовуючи іншу вразливість, щоб уникнути ізоляції пісочниці).
Як оновити браузер Firefox на Linux?
Для того, щоб оновити нові коригуючі версії веб-переглядача до цього і навіть встановити його, якщо у вас його немає, ви можете зробити це, дотримуючись інструкцій, які ми ділимося нижче.
Користувачі Ubuntu, Linux Mint або якогось іншого похідного Ubuntu, Вони можуть встановити або оновити до цієї нової версії за допомогою PPA браузера.
Це можна додати до системи, відкривши термінал і виконавши в ньому таку команду:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Зробили це зараз, вони просто повинні встановити за допомогою:
sudo apt install firefox
в усі інші дистрибутиви Linux можуть завантажувати двійкові пакети від за наступним посиланням.
Або перевірте, чи нова версія вже включена до сховищ вашого дистрибутива.
Ще один спосіб оновлення браузера До останньої версії це відкриття браузера, тут користувачі можуть вручну шукати нові оновлення в меню Firefox -> Довідка -> Про Firefox. Firefox автоматично перевірить наявність нового оновлення та встановить його.
також Очікується виправлення помилок Firefox за другий нульовий день виявлена несправність потрапив у браузер Tor протягом наступних кількох днів.
З сьогоднішнього дня команда браузера Tor була оновлена до версії 8.5.2, яка включає виправлення помилки першого нульового дня, виявленої у гілці Firefox.