Si olet Firefox-käyttäjä, haluan kertoa sinulle, että on aika päivittää selaimesi kyllä tai kyllä. Ja se äskettäin selaimessa on havaittu nollapäivän haavoittuvuus ja sitä hyödynnetään aktiivisesti kohdennetuissa hyökkäyksissä.
Turvallisuusrikkomus paljastettiin Googlen Project Zero -palvelun kautta ja vaikuttaa kaikkiin Firefox-versioihin. Hyvä uutinen on kuitenkin, että korjaustiedosto on saatavana 18. kesäkuuta alkaen Firefox 67.0.3- ja Firefox ESR 60.7.1 -versioissa.
Lisäksi Mozilla suosittelee voimakkaasti käyttäjiä päivittämään.
Tietoja tietoturvaloukkauksesta
Tietoturvatiedotteessa Mozillan insinöörit antoivat joitain selityksiä vian luonteesta.
Esimerkiksi he selittävät sen tämä on haavoittuvuus, joka voidaan aktivoida manipuloimalla JavaScript-elementtejä Array.pop-menetelmän ongelmien vuoksi (joka poistaa JavaScript-taulukon viimeisen elementin).
On myös raportoitu, että virher hyötyy hämmennyksestä JavaScript-tietotyypistä.
"Java-objekteja käsiteltäessä voi esiintyä sekaannusta haavoittuvuutta Array.pop -sivustolta löytyvien ongelmien vuoksi. Tämä voi johtaa hyödynnettävissä olevaan onnettomuuteen. Olemme tietoisia kohdennetuista hyökkäyksistä, joissa hyödynnetään tätä puutetta ", sanotaan selvästi epämääräisessä muistiossa.
Mozilla-sivustoon lähetetyn lyhyen kuvauksen lisäksi tästä tietoturva-aukkasta tai käynnissä olevista hyökkäyksistä ei ole muita yksityiskohtia.
Kun olet pyytänyt lisätietoja, He mainitsevat, että virhettä voitaisiin hyödyntää koodin etäsuorittamiseen (RCE), mutta sitten se vaatii erillisen pakotuksen hiekkalaatikosta koodin ajamiseksi alla olevassa alijärjestelmässä.
"On kuitenkin todennäköistä, että sitä voidaan käyttää hyväksi myös komentosarjojen kirjoittamiseen, mikä voi olla riittävää hyökkääjän tavoitteista riippuen", he lisäsivät.
Sivustojen välinen komentosarja (lyhennetty XSS: ksi) on eräänlainen verkkosivuston tietoturva-aukko, joka sallii sisällön lisäämisen sivulle aiheuttaen toimintoja sivulla vierailevissa selaimissa.
XSS: n mahdollisuudet ovat hyvin laajat, koska hyökkääjä voi käyttää kaikkia selaimen tukemia kieliä (JavaScript, Java, Flash ...) ja uusia mahdollisuuksia löydetään säännöllisesti, erityisesti uusien tekniikoiden, kuten HTML5, myötä.
Esimerkiksi On mahdollista ohjata toiselle sivustolle tietojenkalastelua varten tai varastaa istunto hakemalla evästeet.
Toisaalta he väittävät myös, että heillä ei ole tällä hetkellä tietoja siitä, miten tätä nollapäivän vikaa selaimessa käytettiin, että Coinbase Security voisi oppia lisää löydetyistä hyökkäyksistä.
”Minulla ei ole aavistustakaan aktiiviseen hyväksikäyttöön liittyvästä osasta. Löysin virheen ja ilmoitin siitä 15. huhtikuuta ", kertoi Googlen tietoturvatutkija.
Jotkut saattavat kuitenkin sanoa, että toisen turva-aukon ilmoittaneen yksikön (Coinbase Security) perusteella voimme olettaa, että tätä turvallisuusreikää hyödynnettiin kryptovaluutan omistajia vastaan tehtyjen hyökkäysten aikana.
Kuinka päivittää Firefox-selain Linuxissa?
Voit päivittää selaimen uudet korjaavat versiot tähän ja jopa asentaa sen, jos sinulla ei ole sitä, voit tehdä sen seuraamalla alla olevia ohjeita.
Ubuntun, Linux Mintin tai muun Ubuntun johdannaisen käyttäjät, He voivat asentaa tai päivittää uuden version selaimen PPA: n avulla.
Tämä voidaan lisätä järjestelmään avaamalla pääte ja suorittamalla seuraava komento siinä:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y && sudo apt-get update
Tehty tämä nyt heidän on vain asennettava:
sudo apt install firefox
Jos kyseessä on Arch Linux -käyttäjät ja johdannaiset, aja vain terminaalissa:
sudo pacman -Syu
Tai asentaa seuraavalla tavalla:
sudo pacman -S firefox
että kaikki muut Linux-jakelut voivat ladata binaaripaketit alkaen seuraava linkki.
Toinen tapa päivittää selain uusimpaan versioon on avaamalla selain ja napsauttamalla valikkorivin kysymysmerkkiä.
Täällä aiomme valita "Tietoja Firefoxista" ja sen myötä uuden version lataaminen ja asentaminen alkaa automaattisesti.
Firefoxin julkaistut korjaukset ovat 67.0.3 ja 60.7.1, joissa kriittinen haavoittuvuus (CVE-2019-11707) on korjattu.