שבוע עדכון האבטחה. משתמשי X-buntu, כשרת, היו צריכים כבר ליישם כמה עדכוני גרעין ש- Canonical פרסמה בתחילת השבוע. מצד שני, מוזילה גרסה משוחררת v67.0.3 מהדפדפן שלהם כדי לתקן פגם אבטחה קריטי שהם אמרו לנו שהם יודעים שהוא מנצל. אתמול אותה חברה שחרר את Firefox 67.0.4, עדכון נוסף שמגיע אך ורק לתיקון פגמי אבטחה.
מה שגילו הפעם דומה מאוד למה שגילו יום קודם: א פגיעות אפס יום ששימש בהתקפות ממוקדות נגד חברות מטבעות קריפטוגרפיות כגון Coinbase. מעניין ש- Firefox 67 הציג חידוש שהבטיח לגרום לנו לשכוח את המילה "מטבעות קריפטוגרפיים", אך פגיעות זו גרמה לנו לראות את המילה הזו במאמרים רבים כמו זה. אנו זוכרים כי העדכון הגדול האחרון של דפדפן השועל חוסם כריית קריפטו וטביעת אצבעות, אם כי כרגע עדיין יש להפעיל אותו ידנית (הוא יעשה זאת בקרוב כברירת מחדל).
Firefox מגלה פגיעות חדשה אפס יום
בתחילת השבוע פרסמה מוזילה את גרסאות 67.0.3 ו- 60.7.1 (ESR) של הדפדפן שלה. הגרסאות החדשות הן 67.0.4 בגרסתו "הרגילה" ו- 60.7.2 ESR. רשימת התכונות החדשות בגרסאות אלו קצרה מאוד מכיוון שיש רק אחת המתוארת כ"תיקון אבטחה ". אם נסכים לקישורנוכל לקרוא את הדברים הבאים:
אימות לא מספיק של הפרמטרים שהועברו עם הבקשה: הודעת IPC פתוחה בין תהליכי הורים להורים עלולה לגרום לתהליך ההורה שאינו ארגז חול לפתוח את תוכן האינטרנט שנבחר בתהליך ילד שנפגע. בשילוב עם נקודות תורפה נוספות, הדבר עלול לגרום לביצוע קוד שרירותי במחשב המשתמש.
מוזילה ממליצה לעדכן בהקדם האפשרי. בעת כתיבת שורות אלה העדכון לא הגיע למאגרים הרשמיים של הפצות כמו אובונטו, אך הוא יעשה זאת בשעות הקרובות.
ובכן, זה דבר טוב מאוד מבחינתי, מכיוון שמוזילה מחפשת אותנו לתת לנו מוצר איכותי.
אבל עם איזה חלק בגוף הם מתכנתים את אלה ב- Firefox? עם הראש ושימוש ב- UML נראה כי לא.
הדברים מתוכננים לחשוב על השימוש בהם, ולא על הסיכונים שצורותיהם ושיטותיהם מרמזים ... ובכן, אנו הולכים כך.