Hôm qua một trong những đồng nghiệp của chúng tôi báo cáo một số lỗi được tìm thấy ảnh hưởng đến tất cả các phiên bản của Firefox vì một lỗ hổng zero day đã được phát hiện trong trình duyệt và được khai thác tích cực trong các cuộc tấn công có chủ đích. Vi phạm bảo mật đã được tiết lộ thông qua Project Zero của Google và ảnh hưởng đến tất cả các phiên bản của Firefox.
Bây giờ một ngày sau, Mozilla lại yêu cầu tất cả người dùng trình duyệt cập nhật lại sang phiên bản cao cấp mới đã được phát hành, với lý do là lỗ hổng zero day thứ hai đã được phát hiện trong trình duyệt.
Lỗi zero day thứ hai trong Firefox
Mozilla đã phát hành Firefox 67.0.4 để sửa một lỗ hổng bảo mật đã được sử dụng trong các cuộc tấn công có chủ đích chống lại các công ty tiền điện tử như Coinbase. Người dùng Firefox nên cài đặt bản cập nhật này ngay lập tức.
Nằm sau Firefox 67.0.3 và 60.7.1, Các phiên bản sửa lỗi bổ sung 67.0.4 và 60.7.2 đã được phát hành, loại bỏ lỗ hổng zero day thứ hai (CVE-2019-11708), cho phép bỏ qua cơ chế cách ly hộp cát của trình duyệt.
Vấn đề cho phép sử dụng yêu cầu lệnh để mở thao tác các cuộc gọi IPC để mở nội dung web trong quy trình con không sử dụng hộp cát.
Kết hợp với một lỗ hổng bảo mật khác, vấn đề này cho phép bạn bỏ qua tất cả các cấp độ bảo vệ và tổ chức thực thi mã trong hệ thống.
Trước khi được sửa chữa, các lỗ hổng được xác định trong hai phiên bản Firefox cuối cùng Chúng được sử dụng để thực hiện một cuộc tấn công chống lại nhân viên của sàn giao dịch tiền điện tử Coinbase và cũng được sử dụng để phát tán phần mềm độc hại cho nền tảng macOS.
Xác minh không đầy đủ các tham số được truyền với Lời nhắc: Thông báo IPC mở giữa quy trình con và quy trình mẹ có thể khiến quy trình mẹ không có hộp cát mở nội dung web được chọn bởi quy trình con bị xâm phạm. Khi kết hợp với các lỗ hổng bổ sung, điều này có thể dẫn đến việc thực thi mã tùy ý trên máy tính của người dùng.
Tuần này, Mozilla đã phát hành Firefox 67.0.3 để sửa một lỗ hổng thực thi mã từ xa nghiêm trọng đang được sử dụng trong các cuộc tấn công có chủ đích.
Kể từ khi được phát hành, lỗ hổng bảo mật và một ẩn số khác được phát hiện đã được xâu chuỗi lại với nhau như một phần của cuộc tấn công giả mạo nhằm xóa và chạy các tải trọng độc hại trên máy của nạn nhân.
Người ta cáo buộc rằng Thông tin về lỗ hổng bảo mật đầu tiên đã được gửi đến Mozilla bởi một người tham gia Google Project Zero vào ngày 15 tháng 10 và được khắc phục vào ngày 68 tháng XNUMX trong phiên bản beta của Firefox XNUMX (những kẻ tấn công có thể đã phân tích giải pháp được công bố và chuẩn bị khai thác bằng cách sử dụng một lỗ hổng khác để tránh bị cô lập hộp cát).
Làm thế nào để cập nhật trình duyệt Firefox trên Linux?
Để cập nhật các phiên bản sửa lỗi mới của trình duyệt lên phiên bản này và thậm chí cài đặt nó nếu bạn chưa có, bạn có thể thực hiện bằng cách làm theo hướng dẫn mà chúng tôi chia sẻ dưới đây.
Người dùng Ubuntu, Linux Mint hoặc một số dẫn xuất khác của Ubuntu, Họ có thể cài đặt hoặc cập nhật lên phiên bản mới này với sự trợ giúp của PPA của trình duyệt.
Điều này có thể được thêm vào hệ thống bằng cách mở một thiết bị đầu cuối và thực hiện lệnh sau trong đó:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Xong việc này bây giờ họ chỉ cần cài đặt với:
sudo apt install firefox
đến tất cả các bản phân phối Linux khác đều có thể tải xuống các gói nhị phân từ liên kết sau.
Hoặc kiểm tra xem phiên bản mới đã được đưa vào kho của bản phân phối của bạn chưa.
Một cách khác để cập nhật trình duyệt Để có phiên bản mới nhất bằng cách mở trình duyệt, tại đây người dùng có thể tự tìm kiếm các bản cập nhật mới trong menu Firefox -> Help -> About Firefox. Firefox sẽ tự động kiểm tra bản cập nhật mới và cài đặt nó.
cũng Firefox sẽ sửa lỗi cho lỗi không ngày thứ hai được phát hiện truy cập trình duyệt Tor trong vài ngày tới.
Kể từ hôm nay, nhóm Tor Browser đã được cập nhật lên phiên bản 8.5.2, bao gồm bản sửa lỗi zero day đầu tiên được phát hiện trong nhánh Firefox.