В эти выходные мы
настоятельно рекомендуем вам проверить свою версию Firefox, чтобы убедиться, что вы были в курсе ...
... и теперь мы призываем вас проверить еще раз.
Обновление, вышедшее на выходных, было экстренным
патчем, закрывавшем дыру в безопасности, которая была обнаружена,
потому что она уже использовалась преступниками в реальной жизни - что известно
как нулевой день.
Это немного менее драматично, поскольку является
запланированным обновлением, которое вы ожидаете увидеть на регулярной основе.
Постоянные читатели будут знать, что мы привыкли называть эти Fortytososdays,
как дань уважения HHGttG,
потому что регулярные обновления приходили каждые шесть недель, а 6 × 7 = 42.
Вместо этого можно называть это четвертым днем,
теперь, когда Firefox сократил длину
волны своего обновления до четырех недель, чтобы получить важный, но не нулевой
день. критические исправления только немного чаще.
Вы должны проверить, что у вас есть 75.0
или 68.7.0esr,
если вы или ваша организация используете расширенную версию поддержки.
Эти версии обновлены с 74.0.1 и 68.6.1esr, которые
срочно поступили в выходные.
Полезно знать, как обновить проверку по желанию,
потому что простая проверка того, что вы обновлены, даст вам возможность одним
нажатием кнопки получить любой патч, который вы могли пропустить.
Также, если ваше автоматическое обновление еще не
произошло, ручная проверка позволит вам «перепрыгнуть через очередь» и получить
обновление чуть раньше.
Пожалуй, наиболее интересным элементом в этом обновлении
является ошибка
CVE-2020-6828, характерная для Firefox под Android:
ü CVE-2020-6828:
перезапись предпочтений с помощью специально созданного намерения
§ из вредоносного
приложения Android
ü Вредоносное
приложение Android может создать намерение, которое
ü были обработаны
Firefox для Android и потенциально могут привести к
ü в файле
перезаписать в директории профиля пользователя. Одним из векторов использования
для этого будет предоставление файла user.js
ü предоставление
произвольных значений злонамеренных предпочтений.
ü Контроль
произвольных предпочтений может привести к достаточному компромиссу
ü такой, что это
обычно эквивалентно выполнению произвольного кода.
Даже
если эксплойт, использующий эту уязвимость, не был бы атакой удаленного
выполнения кода (RCE), когда программный код обычно вставляется в память
мошенником, а затем выполняется сразу, это напоминает, что любая ошибка, в
которой мошенник может удаленно перезаписывать файлы конфигурации может быть
так же опасно. Если я смогу перенастроить одно из ваших приложений для
небезопасной работы, а затем подождать, пока приложение перезапустится (или
устройство перезагрузится), чтобы использовать открытую мною дыру, я на самом
деле могу оказаться в более сильной позиции, чем разбить приложение и запустить
свою вредоносную программу на один раз.
Приложение,
которое внезапно вызывает ненадлежащее поведение, может привлечь к себе
внимание - и использование уязвимостей при выполнении кода, использующих, по
сути, «управляемые сносы», подвержено сбоям или может надежно работать только
на нескольких конкретных сборках операционной системы или типах устройств.
Но
приложение, которое запускается нормально, просто не в состоянии безопасности,
которое вы выберете для себя, может быть золотым рудником для мошенника, у
которого есть терпение дождаться перезагрузки или перезагрузки, а затем тайком
проникнуть позже.
Хорошей
новостью является то, что эта дыра не нулевой день, поэтому мошенники, кажется,
еще не знают об этом.
Короче:
«патчуйтесь» сейчас!
Потенциальные
РЦЭ
Для
не Android-версии Firefox, Mozilla, выявили ряд ошибок
неправильного управления памятью, которые, как они полагают, могли быть
перетянуты в эксплуатационные дыры RCE при условии достаточных усилий.
Есть
также некоторые тонкие ошибки, которые дают вам некоторое представление о том,
почему некоторые дыры в безопасности, которые очевидны, когда вы знаете, где
искать, никогда не появляются в тестировании, такие как CVE-2020-6824:
ü CVE-2020-6824:
сгенерированные пароли могут быть идентичными на
§ один и тот же
сайт между отдельным приватным просмотром
§ сессий
ü Сначала
пользователь открывает окно приватного просмотра и генерирует
ü пароль для
сайта, затем закрывает окно приватного просмотра
ü но оставляет
Firefox открытым. Впоследствии, если пользователь открыл
ü новое окно
приватного просмотра, повторно посетило тот же сайт, и
ü сгенерированный
новый пароль - сгенерированные пароли будут иметь
ü были идентичны,
а не независимы.
Как вы можете себе представить, это не
тот рабочий процесс, который вы себе представляете, программируя в
автоматический тест (ну, только после обнаружения ошибки!), И это не та вещь,
которую вы, вероятно, будете делать в реальной жизни
Переход на веб-сайт для изменения пароля
- например, после уведомления о нарушении - вполне достаточно ,но изменить его
дважды на «случайный» пароль, не выходя из Firefox
между ними, маловероятно.
(Это также хорошее напоминание о том, почему
«случайность
трудна»,
поскольку случайные числа, рассматриваемые
по одному,
ничего не говорят о том, насколько хорош ваш рандомизатор, и даже хороший
рандомизатор не годится, если вы используете одно и то же «сильное» случайное число
дважды.)
Что делать?
Установите патч сейчас!
Комментариев нет:
Отправить комментарий