昨天我們的一位同事 報告發現的一些錯誤 會影響所有版本的Firefox,因為 在瀏覽器中發現了零日漏洞 並積極用於有針對性的攻擊。 該安全漏洞是通過Google的“零項目”揭露的,並影響了所有版本的Firefox。
一天之後,Mozilla再次要求所有瀏覽器用戶再次更新 到已經發布的新高級版本, 原因是在瀏覽器中發現了第二個零日漏洞。
Firefox中的第二個零日錯誤
Mozilla已發布Firefox 67.0.4來修復漏洞 在針對Coinbase等加密貨幣公司的針對性攻擊中使用的安全性。 Firefox用戶應立即安裝此更新。
位於Firefox 67.0.3和60.7.1之後, 已發布其他更正版本67.0.4和60.7.2,消除了第二個零日漏洞(CVE-2019-11708),該漏洞允許繞過瀏覽器沙箱隔離機制。
該問題允許使用命令請求來打開IPC調用的操作 在不使用沙箱的子進程中打開Web內容。
結合另一個漏洞, 此問題使您可以繞過所有級別的保護,並且 組織系統中代碼的執行。
在修理之前, Firefox的最近兩個版本中確定的漏洞 它們被用來對加密貨幣交易所Coinbase的員工發起攻擊,還被用於為macOS平台傳播惡意軟件。
對“提示:子進程和父進程之間的打開IPC消息”傳遞的參數的驗證不足可能會導致非沙盒化的父進程打開受感染子進程選擇的Web內容。 當與其他漏洞結合使用時,這可能會導致在用戶計算機上執行任意代碼。
本週,Mozilla發布了Firefox 67.0.3,以修復在有針對性的攻擊中使用的一個嚴重的遠程執行代碼漏洞。
自發布以來,該漏洞和另一個未知漏洞已被鏈接在一起,這是一種欺騙攻擊的一部分,目的是在受害者的計算機上刪除並運行惡意有效負載。
據稱 有關第一個漏洞的信息是由Google Project零參與者發送給Mozilla的 Firefox 15測試版於10月68日修復,並於XNUMX月XNUMX日修復(攻擊者可能分析了已發布的解決方案,並使用另一個漏洞來準備利用此漏洞,以避免沙盒隔離)。
如何在Linux上更新Firefox瀏覽器?
為了將瀏覽器的新糾正版本更新到該版本,甚至在您沒有瀏覽器的情況下進行安裝,也可以按照我們下面共享的說明進行操作。
Ubuntu,Linux Mint或Ubuntu其他衍生產品的用戶, 他們可以藉助瀏覽器的PPA安裝或更新到此新版本。
可以通過打開終端並在其中執行以下命令將其添加到系統中:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
現在要做的就是安裝:
sudo apt install firefox
至 所有其他Linux發行版都可以下載二進制軟件包 從 以下鏈接。
或檢查新版本是否已合併到發行版的存儲庫中。
更新瀏覽器的另一種方法 要打開最新版本,請打開瀏覽器,在這裡用戶可以在Firefox菜單->幫助->關於Firefox中手動搜索新更新。 Firefox將自動檢查並安裝新更新。
還 預計會修復Firefox錯誤 對於發現的第二個零日故障 在接下來的幾天內點擊Tor瀏覽器。
從今天開始,Tor瀏覽器團隊已更新至版本8.5.2,其中包括針對Firefox分支中檢測到的第一個零日錯誤的修復程序。