Firefox исправляет множество недостатков в первом из двух выпусков в этом месяце – Naked Security

Последний полная новая версия Firefox вышел, что стало первым из двух «ежемесячных» обновлений, которые вы увидите в этом месяце.

Точно так же, как в августе 2023 года будет голубая луна (это название применяется ко второму полнолунию в том же календарном месяце, а не к атмосферному явлению, из-за которого луна кажется синей, если вам когда-нибудь было интересно), будет быть синим Firefox тоже.

Обновление версии Firefox происходит каждые 28 дней, а не раз в месяц, поэтому всякий раз, когда выпуск выходит достаточно рано в течение месяца, в конце будет добавлено второе обновление.

Обучаемые моменты

К счастью, на этот раз нет никаких уязвимостей нулевого дня, но следующее отчеты об ошибках попалось на глаза:

• CVE-2023-4045: Offscreen Canvas мог бы обойти ограничения на кросс-происхождение. Одна веб-страница может просматривать изображения, отображаемые на другой странице с другого сайта. Предполагается, что политика одного и того же происхождения в браузерах ограничивает доступ к содержимому HTML и JavaScript с сайта X, чтобы он мог получать доступ к формам, данным, изображениям, файлам cookie и т. п., только если они изначально были получены с сайта X. Любые уловки, которые можно обойти эта защита того же происхождения теоретически может быть использована для захвата так называемых перекрестное происхождение данные, которые вообще не должны быть доступны.
• CVE-2023-4047: Потенциальные разрешения запрашивают обход с помощью кликджекинга. Мошенническая страница может соблазнить вас нажать на тщательно размещенный элемент, такой как совершенно невинная на вид кнопка, только для того, чтобы ввод был зарегистрирован как щелчок в диалоговом окне безопасности, которое не появилось вовремя, чтобы вы могли его увидеть. Потенциально опасные разрешения, такие как доступ к вашему местоположению, отправка уведомлений, активация микрофона и т. д., не должны предоставляться, пока вы не увидите четкое предупреждение от самого браузера и не отреагируете на него.
• CVE-2023-4048: Сбой в DOMParser из-за нехватки памяти. ДОМ это сокращение от объектная модель документа, а DOMParser — это код, который деконструирует HTML-код на веб-странице, которую браузер отображает для отображения, превращая ее в большой объект данных JavaScript, в котором все отдельные компоненты, такие как абзацы, заголовки, изображения, элементы таблицы и т. д. могут быть доступны и изменены программно. Сложные страницы обычно превращаются в большие структуры JavaScript, которые могут занимать много памяти для вычисления и последующего хранения. Предположим, что решительный злоумышленник может намеренно потреблять память, загрузив несколько больших, но невинных страниц, а затем предсказуемо вызвать сбой, используя созданный HTML-файл, который загружается в самое неподходящее время.
• CVE-2023-4050: Переполнение буфера стека в StorageManager. Это переполнение стека старой школы, которое вовремя не обнаруживается самим Firefox и поэтому может привести к сбою, а не к контролируемому завершению работы. Все сбои, вызванные неправильным потоком выполнения в программе (например, переход на любой недопустимый адрес памяти X), следует рассматривать как потенциально пригодные для использования. Предположим, что решительный злоумышленник может понять, как повлиять на значение X и тем самым получить хотя бы некоторую степень злонамеренного контроля над сбоем.
• CVE-2023-4051: Полноэкранное уведомление скрыто диалоговым окном открытия файла. Полноэкранный режим всегда немного рискован, потому что он дает веб-странице, которую вы просматриваете, точный контроль над каждым пикселем на экране. Это означает, что нет частей дисплея, которые могут быть изменены только самим браузером или только операционной системой. Вот почему браузеры стремятся предупредить вас, прежде чем отдать весь экран веб-странице, чтобы вы знали, что всплывающие окна, которые выглядят как официальные диалоги браузера или операционной системы, могут быть такими.
• CVE-2023-4057 и CVE-2023-4058: Исправлены ошибки безопасности памяти в различных версиях Firefox. Как обычно, несмотря на то, что ни одна из этих ошибок не была явно эксплуатируемой, и они все равно были упреждающе исправлены, Mozilla поставила им «высокую» оценку и дала свою всегда откровенную оценку, что «мы предполагаем, что при достаточном усилии некоторые из них можно было бы использовать для запуска произвольного кода».

Что делать?

Новые версии, которые вы ищете после обновления:

• Фаерфокс 116 если у вас последняя версия.
• Firefox ESR 115.1 если вы являетесь пользователем версии с расширенной поддержкой, которая включает исправления безопасности, но не добавляет новые функции. (Добавление 115+1 к номеру версии ESR говорит о том, что этот выпуск соответствует Firefox 116 в отношении исправлений безопасности, хотя его набор функций соответствует Firefox 115.)
• Тандерберд 115.1 если вы используете программное обеспечение электронной почты Mozilla, которое включает в себя код просмотра веб-страниц Firefox для отображения электронных писем в формате HTML и просмотра веб-ссылок, отправленных по электронной почте.

Направляйтесь к Fire Fox -> О Firefox если у вас Mac или Помощь -> О Firefox на других платформах.

Не забывайте, что если вы используете один из BSD или дистрибутив Linux, ваш выпуск Firefox может управляться самим дистрибутивом, поэтому проверяйте обновления у своего провайдера.

---