Firefox tiek atjaunināts otro reizi nedēļas laikā, lai novērstu drošības trūkumus

Drošības atjaunināšanas nedēļa. X-buntu lietotājiem kā serverim jau bija jāpiemēro daži kodola atjauninājumi, kurus Canonical izlaida šīs nedēļas sākumā. No otras puses, Mozilla izlaista versija v67.0.3 no sava pārlūka, lai novērstu kritisku drošības kļūdu, kuru viņi mums teica, ka zina, ka ir izmantojuši. Vakar tas pats uzņēmums izlaida Firefox 67.0.4, vēl viens atjauninājums, kas paredzēts tikai un vienīgi drošības trūkumu novēršanai.

Tas, ko viņi šoreiz ir atklājuši, ir ļoti līdzīgs tam, ko viņi atklāja dienu iepriekš: a neaizsargātība nulle dienas kas tika izmantots mērķtiecīgos uzbrukumos pret kriptovalūtas firmām, piemēram, Coinbase. Interesanti, ka Firefox 67 ieviesa jaunumu, kas solīja mūs aizmirst vārdu "kriptonauda", taču šī ievainojamība mums lika redzēt šo vārdu daudzos rakstos, piemēram, šajā. Mēs atceramies, ka pēdējais lielais lapsu pārlūkprogrammas atjauninājums bloķē kriptogrāfijas ieguvi un pirkstu nospiedumu noņemšanu, lai gan šobrīd tas joprojām ir jāaktivizē manuāli (tas drīz tiks izdarīts pēc noklusējuma).

Firefox atklāj jaunu ievainojamību nulle dienas

Nedēļas sākumā Mozilla izlaida pārlūkprogrammas 67.0.3 un 60.7.1 (ESR) versijas. Jaunās versijas ir 67.0.4 tās "parastajā" versijā un 60.7.2 ESR. Šīs (-o) versijas (-u) jauno funkciju saraksts ir ļoti īss, jo ir tikai viens, kas tiek aprakstīts kā "Drošības labojums". Ja vienojamies uz saiti, mēs varam lasīt šādi:

Nepietiekama ar pieprasījumu nodoto parametru pārbaude: Atvērts IPC ziņojums starp bērna un vecāku procesiem var izraisīt to, ka vecāku process, kas nav ievietots smilškastē, atver Web saturu, kuru izvēlējies apdraudēts pakārtots process. Kopā ar papildu ievainojamībām tas var izraisīt patvaļīgu koda izpildi lietotāja datorā.

Mozilla iesaka atjaunināt pēc iespējas ātrāk. Rakstīšanas laikā atjauninājums nav nonācis oficiālajos izplatītāju krātuvēs, piemēram, Ubuntu, taču tas to izdarīs tuvāko stundu laikā.