セキュリティ更新週。 X-buntuユーザーは、サーバーとして、Canonicalが今週初めにリリースしたいくつかのカーネルアップデートをすでに適用しているはずです。 一方、Mozilla リリースバージョンv67.0.3 ブラウザから、悪用されていることを知っていると彼らが言った重大なセキュリティ上の欠陥を修正しました。 昨日同じ会社 Firefox67.0.4をリリース、セキュリティ上の欠陥を修正するためだけに提供される別のアップデート。
今回発見したことは、前日に発見したことと非常によく似ています。 脆弱性 ゼロデイ Coinbaseなどの暗号通貨会社に対する標的型攻撃で使用されています。 興味深いことに、Firefox 67は、「暗号通貨」という言葉を忘れさせることを約束する斬新さを導入しましたが、この脆弱性により、このような多くの記事でその言葉を目にするようになりました。 foxブラウザの最後の大きなアップデートが暗号マイニングとフィンガープリントをブロックしていることを覚えていますが、今はまだ手動でアクティブ化する必要があります(デフォルトではすぐにアクティブ化されます)。
Firefoxが新しい脆弱性を発見 ゼロデイ
週の初めに、Mozillaはブラウザのバージョン67.0.3および60.7.1(ESR)をリリースしました。 新しいバージョンは、「通常の」バージョンでは67.0.4、ESRは60.7.2です。。 このバージョンの新機能のリストは、「セキュリティ修正」として説明されているものがXNUMXつしかないため、非常に短いものです。 同意すれば リンクへ、私たちは以下を読むことができます:
リクエストで渡されたパラメータの検証が不十分:子プロセスと親プロセスの間でIPCメッセージを開くと、サンドボックス化されていない親プロセスが、侵害された子プロセスによって選択されたWebコンテンツを開く可能性があります。 追加の脆弱性と組み合わせると、ユーザーのコンピューター上で任意のコードが実行される可能性があります。
Mozillaは、できるだけ早く更新することをお勧めします。 これを書いている時点では、アップデートはUbuntuなどのディストリビューションの公式リポジトリには届いていませんが、数時間以内に届く予定です。
そうですね、Mozillaは私たちに高品質の製品を提供することを期待しているので、これは私にとって非常に良いことです。
しかし、彼らは体のどの部分でこれらをFirefoxでプログラムしますか? 頭とUMLを使用すると、そうではないようです。
物事は、それらの形式や方法が意味するリスクについてではなく、それらの使用について考えて設計されています...まあ、私たちはこのように行きます。