Si uri mushandisi weFirefox, rega ndikutaurire kuti inguva yekuvandudza bhurawuza rako hongu kana hongu. Uye izvo munguva pfupi yapfuura zero zero kushushikana kwakawanikwa mu browser uye iri kushandisirwa zvakanyanya mukurwisa kwakanangwa.
Iko kutyora kwekuchengetedza yakaziviswa kuburikidza neGoogle Project Zero uye inokanganisa ese mavhezheni eFirefox. Zvisinei, nhau dzakanaka ndedzekuti pane chigamba chinowanikwa kubva muna Chikumi 18 muFirefox 67.0.3 uye Firefox ESR 60.7.1 shanduro.
Pamusoro pezvo, Mozilla inokurudzira zvakanyanya vashandisi kukwidziridza.
Nezve kutyora kwekuchengeteka
Mune tsamba yekuchengetedza, Mainjiniya eMozilla akapa tsananguro pamusoro pemhando yekukanganisa.
Semuenzaniso, vanotsanangura izvozvo uku kunetseka kunogona kumisikidzwa nekunyepedzera zvinhu zveJavaScript nekuda kwematambudziko muArray.pop nzira (iyo inobvisa chinhu chekupedzisira cheiyo JavaScript array).
Izvo zvinonzi zvakare iko kukanganisar inobatsira kubva mukukanganiswa nezverudzi rwe data muJavaScript.
"Kuvhiringidzika kunetseka kunogona kuitika kana uchibata zvinhu zveJavaScript nekuda kwenyaya dzinowanikwa muArray.pop. Izvi zvinogona kutungamira kune tsaona inoshandiswa. Tinoziva nezvekurwiswa kunoshandisa kukanganisa uku, "inodaro katsamba yakajeka.
Kunze kwerondedzero pfupi yakatumirwa panzvimbo yeMozilla, hapana zvimwe zvakadzama nezve kuchengetedzeka kwekuchengetedzeka kana kurwiswa kuri kuitika.
Mushure mekukumbira kwekuwedzera rumwe ruzivo, Ivo vanotaura kuti iyo bhagi inogona kushandiswa kuitisa kure kodhi kuitisa (RCE), asi ipapo zvinoda kutiza kwakasiyana kubva kubhokisi rejecha kuti umhanye kodhi mune yepasi pesisitimu.
"Zvisinei, zvingangoita kuti inogona kushandiswa mukunyora muchinjikwa, izvo zvinogona kukwana zvichienderana nezvinangwa zveanorwisa," vakawedzera.
Cross-saiti kunyorera (kupfupiswa kuXSS) mhando yewebhusaiti yekuchengetedza kukanganisa iyo inobvumidza zvemukati kuiswa jekiseni mune peji, zvichikonzera zviito mumabhurawuza ewebhu anoshanyira peji.
Mikana yeXSS yakakura kwazvo, nekuti anorwisa anogona kushandisa mitauro yese inotsigirwa nebrowser (JavaScript, Java, Flash…) uye mikana mitsva inowanikwa nguva zhinji, kunyanya nekuuya kwetekinoroji nyowani dzakadai seHTML5.
Somuenzaniso, Izvo zvinokwanisika kuendesa kune imwe saiti ye phishing kana kubira chikamu nekutora makuki.
Kune rimwe divi, ivo zvakare vanopokana kuti havana ruzivo parizvino nezvenzira iyi zero zuva rekukanganisa raishandiswa mubrowser kuti Coinbase Security inogona kudzidza zvakawanda nezve zvakawanikwa kurwisa.
"Ini handina zano nezve chikamu chine chekuita nekushungurudza vanhu. Ndakawana ndikamhan'ara chirwere ichi musi waApril 15, "akadaro muongorori wezvekuchengetedzwa kweGoogle.
Nekudaro, vamwe vangangoti zvichibva pane chimwe chikamu chakazivisa gomba rekuchengetedza (Coinbase Security), tinogona kufunga kuti gomba rekuchengetedza iri rakashandiswa panguva yekurwiswa kwevaridzi ve cryptocurrency
Maitiro ekuvandudza Firefox browser paLinux?
Kuti uvandudze idzva dzekugadzirisa shanduro dzebrowser kune ino uye kunyange kuiisa kana usina, unogona kuzviita nekutevera mirairo yatinogovana pazasi.
Vashandisi veUbuntu, Linux Mint kana chimwewo chinobva paUbuntu, Ivo vanokwanisa kuisa kana kugadzirisa kune iyi nyowani vhezheni nerubatsiro rweBrawuza PPA.
Izvi zvinogona kuwedzerwa kuhurongwa nekuvhura terminal uye nekuita unotevera kuraira mairi:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y && sudo apt-get update
Vakaita izvi izvozvi ivo vanongofanirwa kuisa ne:
sudo apt install firefox
Kana iri Arch Linux vashandisi uye zvigadzirwa, ingo mhanya mune terminal:
sudo pacman -Syu
Kana kuisa ne:
sudo pacman -S firefox
Para zvimwe zvese zvekuparadzirwa kweLinux zvinogona kurodha pasi mabhagaari kubva chinotevera chinongedzo.
Imwe nzira yekumutsiridza bhurawuza kune yazvino vhezheni ndeyekuvhura bhurawuza uye nekudzvanya chiratidzo chemubvunzo mune bar yemenyu.
Pano tave kuzosarudza "About Firefox" uye izvi zvinobva zvatanga kurodha pasi uye kumisikidza vhezheni itsva.
Firefox yakaburitswa gadziriso iri 67.0.3 uye 60.7.1, umo kunetseka kwakanyanya (CVE-2019-11707) kwakagadziriswa.