ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

Firefox 115 がリリースされ、古い Windows および Mac ユーザーに別れを告げる

プラトン再発行
プラトン再発行

日付:

閲覧数: 104
by ポール・ダックリン

Firefox の最新の月例アップデート 出てきたばかり、人気のある代替ブラウザのプライマリ バージョンを 115.0.

厳密には XNUMX 週間に XNUMX 回の更新なので、XNUMX か月に満月が XNUMX 回あるのと同じように、XNUMX 暦月に XNUMX 回の大きな更新があることもありますが、今月は XNUMX 回だけです。

(来月の 2023 年 116 月の終わりには、偶然にも、01 か月で 2023 回目の満月を表すブルームーンと、私たちが類推してブルー ファイアフォックスと呼ぶものの両方が発生します。 、Firefox 117 は 29 年 2023 月 XNUMX 日にリリースされ、Firefox XNUMX は XNUMX 週間後の XNUMX 年 XNUMX 月 XNUMX 日にリリースされます。)

古いOSを使用しているユーザーへの早期警告

Mozilla 独自の ヘッドラインニュース バージョン 115 の場合は次のとおりです。

2023 年 7 月に、Microsoft は Windows 8 と Windows XNUMX のサポートを終了しました。その結果、これは、これらのオペレーティング システムのユーザーが受け取ることになる Firefox の最後のバージョンになります。 […]

同様に、これは Apple macOS 10.12、10.13、および 10.14 をサポートする Firefox の最後のメジャー バージョンです。

来月から、サポートされていない古いバージョンの Windows と macOS しか実行できないコンピューターを使用している場合は、自動的に Firefox ESR バージョンに切り替わります。

ESRはの略です 拡張サポートリリース、セキュリティ更新は取得できますが、機能更新は取得できない特別な Firefox フレーバーです。

残念ながら、ESR は、ESR が最後に「追いついた」ときから延期されていたすべての機能更新を吸収し、その後は XNUMX 年ほどかけて静かにセキュリティ更新だけを再び取得します。

言い換えれば、ESR バージョンは、暫定期間のすべての新機能が追加され、現在削除されたすべての機能を備えた最新のメジャー バージョンに「再ベース」されるまで、XNUMX 年強存続します。

たとえば、2023 年末までに、ESR リリースは 115.6 になります。これは、機能的には今月のバージョンと、それ以降に公開されたすべてのセキュリティ パッチが含まれることを意味します。

ただし、2024 年 115 月には、メジャー バージョン 115.15 に基づく最後の ESR バージョン、つまり ESR XNUMX がリリースされます。

...その後、サポートされている最も古い ESR リリースは来月のメジャー バージョン 116 のコードに基づくことになり、古い Windows および Mac デバイスでは動作しなくなります。

つまり、Windows 7、Windows 8、および Catalina (10.15) より前の macOS は、ESR バージョンでさえこれらのプラットフォームをサポートしなくなるため、2024 年 XNUMX 月以降は Firefox アップデートをまったく取得できなくなります。

(それまでにコンピュータを更新できない場合は、Linux など、ハードウェアでサポートされている代替オペレーティング システムに切り替えることを強くお勧めします。これにより、システム アップグレードを入手できるだけでなく、最新のブラウザを実行できるようになります。 。)

今月のパッチ

幸いなことに、今月は何もありませんでした セキュリティパッチ ゼロデイとしてリストされています。これは、含まれるすべての修正が、外部の研究者によって責任を持って開示されたバグ、または Mozilla 自身のセキュリティおよび開発チームによって発見されたバグに対するものであることを意味します。

評価された CVE 番号付きのバグ修正は XNUMX つあります ハイすなわち:

  • CVE-2023-37201: WebRTC 証明書生成における解放後の使用。 皮肉なことに、これは、安全なエンドツーエンドの通信を確立するはずの音声通話またはビデオ通話のまさにその部分で、潜在的なリモート コード実行バグ (攻撃者が警告なしにコンピューターにコードを埋め込む) がトリガーされる可能性があることを意味します。 HTTPS 経由の暗号化チャネル。
  • CVE-2023-37202: SpiderMonkey のコンパートメントの不一致による解放後の使用の可能性。 SpiderMonkey は、JavaScript コードの処理を担当する Mozilla ソフトウェア コンポーネントです。 ブラウザの JavaScript エンジンは、リモート JavaScript コードが与える可能性のある損害を意図的に制限しているため、外部から提供された JavaScript の実行は「ほとんど無害」であると考えられています。 もちろん、JavaScript エンジン自体が悪用可能なバグを含んでいる場合を除きます。 セキュリティエスケープ または サンドボックスエスケープ.
  • CVE-2023-37211: メモリ安全性のバグは、Firefox 115、Firefox ESR 102.13、および Thunderbird 102.13 で修正されました。 いつものように、Mozilla は、自動的に発見され、最終的には危険ではないことが判明する可能性のあるバグであっても、率直に認めています。 「十分な努力をすれば、これらの一部が悪用されて任意のコードを実行できた可能性があると考えられます。」
  • CVE-2023-37212: メモリ安全性のバグは Firefox 115 で修正されました。 これは、最新のメジャー バージョンでのみパッチが適用されている可能性のあるセキュリティ バグのさらなるセットであり、現在の ESR 102.13 リリースではパッチが適用されていません。これはおそらく、これらのバグが昨年のバージョン 102 のリリース以降に追加された新機能によって導入されたためと考えられます。 「新機能は新しいバグを意味する」という懸念が、そもそも一部のユーザーを ESR リリースに固執させる原因となっています。 (ESR バージョンの XNUMX つの数値を加算すると、セキュリティ アップデートの条件がどの程度進んでいるかを知ることができます。)

他にもたくさんあります 適度な & ロー 重大度のバグ。少なくとも私たちの意見では、そのうち XNUMX つが興味深いものとして際立っています。

  • CVE-2023-37204: 全画面通知はオプション要素によって隠されます。 どうやら、不正な Web ページは Firefox を全画面モードに切り替え、同時にバックグラウンドでの計算を開始して大量の処理能力を消費し、画面全体の占有に関するブラウザの警告が表示されなくなる可能性があります。 不正な Web サイトは、フルスクリーン モードでディスプレイ上の任意の場所にピクセルをペイントする可能性があることに注意してください。これには、リアルではあるが偽のオペレーティング システム ダイアログがポップアップ表示されたり、偽の URL が含まれた偽のアドレス バーが表示されたりすることが含まれます。 そのため、全画面モードに入る前の警告は重要であると考えられます。
  • CVE-2023-37207: 全画面通知が隠れます。 このバグは前のバグと似ていますが、プロセッサー時間を消費することによってではなく、ある種の URL (たとえば、 mailto:// リンク)、ブラウザ自体ではなく外部プログラムによって処理されます。
  • CVE-2023-37205: 右から左への文字を使用したアドレス バーでの URL スプーフィング。 このバグがどのように機能するのか、またどのように悪用されるのかは正確にはわかりませんが、説明によると、URL 内のアラビア文字とサーバー名の部分を指定するラテン文字を混合することで、攻撃者はラテン文字の悪意のあるドメイン名を取得できる可能性があります。 「逆方向に」書き出されます。 したがって、次のように表示されたサイトは、 moc.elpmaxe 実際には次のサーバーを参照できます example.com。 サーバー名を慎重に選択すると、未知で信頼できないドメインを有名なブランド名のように偽装することができます。

何をするか?

Video Cloud Studioで カスタマーサービス > Firefoxについて 窓(または Firefoxの > Firefoxについて macOS の場合)、現在使用しているバージョンを確認し、最新バージョンでない場合は最新バージョンを入手します。

何か月も古い場合は、一度に最新バージョンを入手できない可能性があるので、最初のページに戻ってください。 Firefoxについて もう一度ダイアログを開き、完了する必要のある追加の更新「ジャンプ」がないことを確認します。

Firefox が Linux または BSD ディストリビューションによって提供されている場合は、ディストリビューション自体に最新バージョンを確認してください。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.