Si Ön Firefox-felhasználó, hadd mondjam el, hogy ideje frissíteni a böngészőt igen vagy igen. És ez nemrégiben nulla napos biztonsági rést fedeztek fel a böngészőben és célzott támadásokban aktívan kihasználják.
A biztonsági megsértés a Google Project Zero-ján derült ki, és a Firefox összes verzióját érinti. Jó hír azonban, hogy van egy javítás, amely június 18-tól elérhető a Firefox 67.0.3 és a Firefox ESR 60.7.1 verzióiban.
Ezenkívül a Mozilla határozottan javasolja a felhasználóknak a frissítést.
A biztonsági résről
Egy biztonsági közleményben A Mozilla mérnökei magyarázatot adtak a hiba természetéről.
Például ezt elmagyarázzák ez egy sebezhetőség, amelyet a JavaScript-elemek manipulálásával lehet aktiválni az Array.pop metódus problémái miatt (amely eltávolítja a JavaScript tömb utolsó elemét).
Azt is jelentették, hogy a hibaAz r előnyeit élvezi a JavaScript adattípusával kapcsolatos zavar.
„Összezavarodási sebezhetőség léphet fel a Java-objektumok kezelésekor az Array.pop fájlban talált problémák miatt. Ez kihasználható balesethez vezethet. Tudomásunk van olyan célzott támadásokról, amelyek kihasználják ezt a hibát "- áll a kifejezetten homályos feljegyzésben.
A Mozilla webhelyen közzétett rövid leíráson kívül, a biztonsági résről vagy a folyamatban lévő támadásokról nincsenek további részletek.
További információk kérése után Megemlítik, hogy a hibát kihasználhatják a távoli kódfuttatáshoz (RCE), de akkor egy külön menekülésre lenne szükség a homokozóból a kód futtatásához egy mögöttes alrendszerben.
"Valószínű azonban, hogy keresztkriptek készítésére is felhasználható, ami a támadó céljaitól függően elegendő lehet" - tették hozzá.
A helyek közötti parancsfájlok (XSS-re rövidítve) egyfajta webhelybiztonsági hiba, amely lehetővé teszi a tartalom beillesztését egy oldalra, ami műveleteket okoz az oldalt felkereső webböngészőkben.
Az XSS lehetőségei nagyon tágak, mivel a támadó képes használni a böngésző által támogatott összes nyelvet (JavaScript, Java, Flash ...), és rendszeresen új lehetőségeket fedeznek fel, különösen az új technológiák, például a HTML5 megjelenésével.
Pl. Lehetőség van átirányítani egy másik webhelyre adathalászat céljából, vagy a munkamenetet ellopni a sütik lekérésével.
Másrészről azt is állítják, hogy jelenleg nincsenek részletek arról, hogy ezt a nulla napos hibát miként használták fel a böngészőben, hogy a Coinbase Security többet tudhat meg a felfedezett támadásokról.
„Fogalmam sincs az aktív kizsákmányolással kapcsolatos részről. Április 15-én találtam és jelentettem a hibát "- mondta a Google biztonsági kutatója.
Egyesek azonban azt mondhatják, hogy a biztonsági lyukat jelentő másik entitás (Coinbase Security) alapján feltételezhetjük, hogy ezt a biztonsági lyukat kihasználták a kriptovaluta-tulajdonosok elleni támadások során.
Hogyan lehet frissíteni a Firefox böngészőt Linuxon?
Annak érdekében, hogy a böngésző új javító verzióit frissítse erre a verzióra, és még telepítse is, ha még nincs, akkor az alábbiakban megosztott utasításokat követve teheti meg.
Az Ubuntu, a Linux Mint vagy az Ubuntu más származékának felhasználói, A böngésző PPA segítségével telepíthetik vagy frissíthetik ezt az új verziót.
Ez hozzáadható a rendszerhez egy terminál megnyitásával és a következő parancs végrehajtásával:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y && sudo apt-get update
Kész ezt most csak telepíteniük kell:
sudo apt install firefox
Abban az esetben Arch Linux felhasználók és származékai, csak futtasson egy terminálon:
sudo pacman -Syu
Vagy telepíteni a következőkkel:
sudo pacman -S firefox
hogy az összes többi Linux disztribúció letöltheti a bináris csomagokat -tól a következő link.
A böngésző legújabb verziójára történő frissítés másik módja, ha megnyitja a böngészőt, és rákattint a kérdőjelre a menüsorban.
Itt a "About Firefox" lehetőséget választjuk, és ez automatikusan elindítja az új verzió letöltését és telepítését.
A Firefox kiadott 67.0.3 és 60.7.1 javításai, amelyekben a kritikus sebezhetőséget (CVE-2019-11707) kijavították.