Si вы пользователь Firefox, позвольте мне сказать вам, что пора обновить ваш браузер да или да. И это недавно в браузере обнаружена уязвимость нулевого дня и активно используется в целевых атаках.
Нарушение безопасности был обнаружен через Google Project Zero и влияет на все версии Firefox.. Однако хорошая новость заключается в том, что с 18 июня для версий Firefox 67.0.3 и Firefox ESR 60.7.1 доступен патч.
Кроме того, Mozilla настоятельно рекомендует пользователям выполнить обновление.
О нарушении безопасности
В бюллетене по безопасности Инженеры Mozilla дали несколько пояснений о характере неисправности.
Например, они объясняют, что это уязвимость, которую можно активировать, манипулируя элементами JavaScript. из-за проблем в методе Array.pop (который удаляет последний элемент массива JavaScript).
Также сообщается, что ошибкаr извлекает выгоду из путаницы с типом данных в JavaScript.
«Уязвимость может возникнуть при обработке объектов JavaScript из-за проблем, обнаруженных в Array.pop. Это может привести к несчастному случаю с эксплуатацией. Нам известно о целевых атаках, использующих этот недостаток », - говорится в явно расплывчатом примечании.
Помимо краткого описания, размещенного на сайте Mozilla, нет никаких других подробностей об этой уязвимости системы безопасности или текущих атаках.
После запроса дополнительной информации, Они упоминают, что ошибка может быть использована для удаленного выполнения кода. (RCE), но тогда потребуется отдельный выход из песочницы для запуска кода в базовой подсистеме.
«Однако вполне вероятно, что он также может быть использован для кросс-скриптов, что может быть достаточно в зависимости от целей злоумышленника», - добавили они.
Межсайтовый скриптинг (сокращенно XSS) - это тип недостатка безопасности веб-сайта, который позволяет вставлять контент на страницу, вызывая действия в веб-браузерах, которые посещают страницу.
Возможности XSS очень широки, поскольку злоумышленник может использовать все языки, поддерживаемые браузером (JavaScript, Java, Flash…), и регулярно открываются новые возможности, особенно с появлением новых технологий, таких как HTML5.
Например, Можно перенаправить на другой сайт для фишинга или украсть сеанс, получив файлы cookie.
С другой стороны, они также утверждают, что на данный момент у них нет подробностей о том, как этот недостаток нулевого дня использовался в браузере, чтобы Coinbase Security могла больше узнать об обнаруженных атаках.
«Я понятия не имею о части, связанной с активной эксплуатацией. Я обнаружил ошибку и сообщил о ней 15 апреля », - сказал исследователь безопасности Google.
Однако некоторые могут сказать, что, основываясь на другом субъекте, сообщившем о дыре в безопасности (Coinbase Security), мы можем предположить, что эта дыра в безопасности была использована во время атак на владельцев криптовалюты.
Как обновить браузер Firefox в Linux?
Чтобы обновить новые исправляющие версии браузера до этой и даже установить его, если у вас его нет, вы можете сделать это, следуя инструкциям, которые мы делимся ниже.
Пользователи Ubuntu, Linux Mint или другой производной Ubuntu, Они могут установить или обновить эту новую версию с помощью PPA браузера.
Его можно добавить в систему, открыв терминал и выполнив в нем следующую команду:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y && sudo apt-get update
Сделано это, теперь им просто нужно установить:
sudo apt install firefox
В случае Пользователи Arch Linux и производные, просто запустите в терминале:
sudo pacman -Syu
Или установить с помощью:
sudo pacman -S firefox
к все остальные дистрибутивы Linux могут загружать двоичные пакеты от по следующей ссылке.
Другой способ обновить браузер до последней версии - открыть браузер и щелкнуть вопросительный знак в строке меню.
Здесь мы собираемся выбрать «О Firefox», и загрузка и установка новой версии начнутся автоматически.
Выпущенные исправления Firefox - 67.0.3 и 60.7.1, в которых исправлена критическая уязвимость (CVE-2019-11707).