Firefox 99 ist da – keine größeren Bugs, aber trotzdem Update! – Nackte Sicherheit

Einmal alle vier Wochen Sicherheitsupdate Der Mozilla Firefox-Browser ist heute offiziell eingetroffen.

Die reguläre Version von Firefox ist jetzt 99,0während die Veröffentlichung des erweiterten Supports, der Sicherheitsfixes ohne Funktionsupdates erhielt, jetzt ist 91.8.0 ESR.

Fügen Sie die ersten beiden Zahlen im Trio der ESR-Edition hinzu, und Sie sollten denselben Wert wie die erste Zahl in der regulären Ausgabe erhalten.

(Also hat der 91.8 ESR eine Reihe von Firefox 91.0-Funktionen plus die gleichen 8 Sätze von vierwöchigen Sicherheitspatches, die in den dazwischen liegenden Vollversionen herauskamen, wodurch die Sicherheit mit Version (91 + 8) .0 in Einklang gebracht wird, d.h 99.0.)

Glücklicherweise, wie in April 2022 Google Android Das Update, über das wir gerade geschrieben haben und das am selben Tag eintraf, enthielt keine kritischen Sicherheitsfixes oder gepatchte Zero-Day-Löcher.

Insbesondere, obwohl Mozilla anerkennt, dass einige in Firefox 99.0 behobene Speicherverwaltungsfehler ausgenutzt werden könnten “Mit genug Aufwand”Es sind noch keine Arbeitsleistungen bekannt.

Und ohne irgendwelche bekannten Talente ist es klar, dass es keine bekannten Talente gibt, die bereits von den Bad Guys verwendet wurden, oder Null Tage wie sie im Fachjargon heißen.

was ist zu tun?

Trotz des scheinbar geringen Risikos in diesem Monat bergen alle Sicherheitslöcher eine gewisse Gefahr, sonst würden sie keine CVE-Fehlernummern erhalten und in den Sicherheitstipps aufgeführt werden, also Wir empfehlen die Aktualisierung sobald du kannst.

Klicke auf Mir Schaltfläche (drei Zeilen) in der oberen rechten Ecke Ihres Firefox-Fensters und klicken Sie dann auf Hilfeund auswählen Über Firefox.

Wenn Sie bereits aktualisiert sind, werden Sie im Dialogfeld darüber informiert, andernfalls wird die neueste Version heruntergeladen.

Wenn ein Update erforderlich ist, vergessen Sie nicht zu klicken [Restart to update Firefox] um die neue Version zu aktivieren. (Alternativ schließen Sie einfach Firefox und starten Sie die App neu.)

Eine vollständige Liste der Korrekturen für diese Version finden Sie in Mozilla Sicherheitshinweis 2022-13.

Zwei Fehler, die für uns interessant waren, sind:

  • CVE-2022-28283: Sicherheitsüberprüfungen für den Abruf von sourceMapURL fehlen. Das SourceMap-Tool in Firefox ist nicht für den täglichen Gebrauch gedacht – es ist eine nützliche Funktion für Entwickler, die in den JavaScript-Quellcode einer Website eintauchen möchten, um zu sehen, warum sie sich nicht schlecht verhält. Viele JavaScript-Programme, die über das Internet gesendet werden, werden absichtlich in einer für Menschen unlesbaren Form gesendet, manchmal, um sie schwer verständlich zu machen, aber oft einfach, um sie zu zerstören, um Platz und Downloadzeit zu sparen. SourceMap versucht, diese Unklarheit umzukehren, um Renderfehler und Probleme leichter erkennen zu können. In diesem Fall könnte unscharfes JavaScript auf der Webseite abgefangen werden, sodass der Entwickler, der versucht, es zu reparieren, versehentlich privilegierte Inhalte wie den Inhalt lokaler Dateien laden könnte. Ironischerweise könnte dies bedeuten, dass jemand, der bei der Untersuchung eines unschuldig aussehenden Problems hilft, das durch die Website eines anderen (oder eine eingefügte Anzeigenseite) ausgelöst wird, schließlich Skripten dieser „kaputten“ Website erlauben könnte, in lokale, private Daten einzudringen.
  • CVE-2022-28286: IFRAME-Inhalte werden möglicherweise außerhalb des Limits angezeigt. Dieser ist mit “niedrig” bewertet, daher gehen wir davon aus, dass er wahrscheinlich keinen großen Schaden anrichtet, selbst wenn jemand versteht, wie man ihn auf Computern ohne Patches verwendet. Eine wichtige Erinnerung ist jedoch, dass der Kontext wichtig ist. IFRAMEs sind, wie der Name schon sagt, eingebaute Frames, die im Wesentlichen Seite-in-Seite erstellen. Offensichtlich darf der Inhalt der internen Seite nicht außerhalb des IFRAME-Fensters erscheinen oder könnte wichtige Informationen auf der angehängten Seite verdecken, wie z to ist die WINDOW ADVERTISED PAID AD. Sogenannte „Spoofing-Angriffe“ können für Cyber-Betrüger überraschend nützlich sein, weil sie es ihnen erleichtern, gefälschte Inhalte als echt zu enthüllen oder Warnungen zu verbergen, die Sie sonst darauf aufmerksam machen würden, dass Sie getäuscht werden.

Notiz. Wenn Sie eine verwaltete Version von Firefox verwenden, die als Teil Ihrer Unix- oder Linux-Betriebssystemverteilung aktualisiert wird, überprüfen Sie Ihre Verteilung auf die neueste Version und nicht auf die Server von Mozilla.


Leave a Comment