昨天我们的一位同事 报告发现了一些错误 会影响所有版本的Firefox,因为 在浏览器中发现了零日漏洞 并积极用于有针对性的攻击。 该安全漏洞是通过Google的零号项目揭露的,并影响了所有版本的Firefox。
一天之后,Mozilla再次要求所有浏览器用户再次更新 到已经发布的新高级版本, 原因是在浏览器中发现了第二个零日漏洞。
Firefox中的第二个零日错误
Mozilla已发布Firefox 67.0.4来修复漏洞 在针对Coinbase等加密货币公司的针对性攻击中使用的安全性。 Firefox用户应立即安装此更新。
位于Firefox 67.0.3和60.7.1之后, 已发布其他更正版本67.0.4和60.7.2,消除了第二个零日漏洞(CVE-2019-11708),该漏洞允许绕过浏览器沙箱隔离机制。
该问题允许使用命令请求来打开IPC呼叫操作 在不使用沙箱的子进程中打开Web内容。
结合另一个漏洞, 此问题使您可以绕过所有级别的保护,并且 组织系统中代码的执行。
在修理之前, Firefox的最近两个版本中确定的漏洞 它们被用来对加密货币交易所Coinbase的员工进行攻击,还被用于为macOS平台传播恶意软件。
对“提示:子进程和父进程之间的打开IPC消息”传递的参数的验证不足可能会导致非沙盒化的父进程打开受感染子进程选择的Web内容。 当与其他漏洞结合使用时,这可能会导致在用户计算机上执行任意代码。
本周,Mozilla发布了Firefox 67.0.3,以修复在目标攻击中使用的一个严重的远程执行代码漏洞。
自从发布以来,该漏洞和另一个未知漏洞已被链接在一起,这是一种欺骗攻击的一部分,目的是在受害者的计算机上删除并执行恶意有效负载。
据称 有关第一个漏洞的信息是由Google Project零参与者发送给Mozilla的 Firefox 15测试版于10月68日修复,并于XNUMX月XNUMX日修复(攻击者可能分析了已发布的解决方案,并使用另一个漏洞来准备利用此漏洞,以避免沙盒隔离)。
如何在Linux上更新Firefox浏览器?
为了更新到该浏览器的新修正版本,甚至在没有浏览器的情况下进行安装,您可以按照下面共享的说明进行操作。
Ubuntu,Linux Mint或Ubuntu其他衍生产品的用户, 他们可以借助浏览器的PPA安装或更新到此新版本。
可以通过打开终端并在其中执行以下命令将其添加到系统中:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
现在要做的就是安装:
sudo apt install firefox
至 所有其他Linux发行版都可以下载二进制软件包 从 以下链接。
或检查新版本是否已合并到发行版的存储库中。
更新浏览器的另一种方法 要打开最新版本,请打开浏览器,在这里用户可以在Firefox菜单->帮助->关于Firefox中手动搜索新更新。 Firefox将自动检查并安装新更新。
还 预计会修复Firefox错误 对于发现的第二个零日故障 在接下来的几天内点击Tor浏览器。
从今天起,Tor浏览器团队已更新至版本8.5.2,其中包括针对Firefox分支中检测到的第一个零日错误的修复程序。