Firefox päivitetään toisen kerran viikossa korjaamaan tietoturva-aukkoja

Tietoturvapäivitysviikko. X-buntun käyttäjien olisi palvelimena jo pitänyt soveltaa joitain ytimen päivityksiä, jotka Canonical julkaisi aiemmin tällä viikolla. Toisaalta Mozilla julkaistu versio v67.0.3 selaimen avulla korjaamaan kriittinen tietoturva-aukko, jonka he kertoivat meille tietävänsä hyödynneen. Eilen sama yritys julkaissut Firefox 67.0.4, toinen päivitys, joka tulee yksinomaan korjaamaan tietoturva-aukkoja.

Se, mitä he ovat löytäneet tällä kertaa, on hyvin samanlainen kuin mitä he löysivät edellisenä päivänä: a alttius Zero Day jota on käytetty kohdennettuihin hyökkäyksiin kryptovaluuttayrityksiin, kuten Coinbase. Mielenkiintoista on, että Firefox 67 esitteli uutuuden, joka lupasi saada meidät unohtamaan sanan "kryptovaluutat", mutta tämä heikkous on saanut meidät näkemään kyseisen sanan monissa tämänkaltaisissa artikkeleissa. Muistamme, että kettu-selaimen viimeinen suuri päivitys estää salauksen louhinnan ja sormenjälkien ottamisen, vaikka juuri nyt se on vielä aktivoitava manuaalisesti (se tehdään oletusarvoisesti pian).

Firefox havaitsee uuden haavoittuvuuden Zero Day

Viikon alussa Mozilla julkaisi selaimensa versiot 67.0.3 ja 60.7.1 (ESR). Uudet versiot ovat 67.0.4 "normaalissa" versiossaan ja 60.7.2 ESR. Tämän version (versioiden) uusien ominaisuuksien luettelo on hyvin lyhyt, koska vain yksi on kuvattu nimellä "Security Fix". Jos olemme samaa mieltä linkkiin, voimme lukea seuraavat:

Pyynnön yhteydessä lähetettyjen parametrien riittämätön todentaminen: Avoin IPC-viesti lapsi- ja ylätason prosessien välillä voi aiheuttaa ei-hiekkalaatikkopäällikköprosessin avaavan vaarantuneen aliprosessin valitseman verkkosisällön. Yhdistettynä muihin haavoittuvuuksiin tämä voi johtaa mielivaltaisen koodin suorittamiseen käyttäjän tietokoneessa.

Mozilla suosittelee päivittämistä mahdollisimman pian. Kirjoitushetkellä päivitys ei ole päässyt Ubuntun kaltaisten jakelujen virallisiin arkistoihin, mutta se tekee sen lähivuosina.