Zephyrnet-logo

Firefox 101 is uit, deze keer zonder 0-day-angst (maar update toch!)

Datum:

De nieuwste geplande Firefox-update is uit en brengt de populaire alternatieve browser naar versie 101.0.

Dit volgt op een intrigerende maand van Firefox 100-releases, met Firefox 100.0 arriveerde, net als Chromium 100 een maand of zo ervoor, zonder enige problemen veroorzaakt door de verschuiving van een tweecijferig naar een driecijferig versienummer.

Begin 2022, toen zowel Chromium als Firefox toevallig hun eeuwen naderden rond dezelfde tijd, leek het erop dat er op zijn minst een paar reguliere websites waren versienummers extraheren voor beide producten onjuist.

Sommige sites, zo leek het, zochten in de browsers User-Agent tekstreeksen voor patronen die vast waren gemaakt om slechts twee cijfers aan versie-informatie te extraheren.

Zoals je je kunt voorstellen, geeft het vouwen van drie cijfers in twee je een fout die een beetje lijkt op de millenniumbug, met 100 veranderen in een van beide 10 of in 00, afhankelijk van welk uiteinde je snoeit.

Zowel 0 als 10 vertegenwoordigen versienummers uit lang vervlogen tijden, waardoor een gloednieuwe browser ten onrechte wordt gemarkeerd als een roekeloos verouderde, wat sommige sites weigerden te accepteren.

Daimler's website toen we in februari 100 een pre-release van Firefox 2022 bezochten.
Ironisch genoeg liep onze browser natuurlijk voorop, niet ver achter.

Ongetwijfeld deels te danken aan de inspanningen van zowel Google's Chromium- als Mozilla's Firefox-codeerders (die samen ongepaste websites identificeerden en zelfs nood-"ontsnappingsmechanismen" voorbereidden waardoor hun respectievelijke browsers zichzelf zouden blijven noemen 99.something bij het bezoeken van slecht geprogrammeerde webservers), verliep de 100.0-release van beide browsers uiteindelijk rustig ...

... maar Firefox volgde de reguliere 100.0-release met een noodgeval release, die een gloednieuwe Windows-beveiligingsfunctie inschakelde die in 100.0.

We vroegen ons af waarom deze nieuwe functie, die al een lange tijd in de maak was en niet was ontworpen om een ​​specifiek beveiligingslek waarvan bekend is dat het misbruikt kan worden op te lossen, niet gewoon was opgeslagen en uitgebracht als een nieuwe functie in de geplande 101.0-versie.

Maar het feit dat het nog maar een paar dagen was voor de beruchte Pwn2Own hackwedstrijd, waar deelnemers supermoderne computers voorgeschoteld krijgen om hun aanvallen uit te proberen, leidde ons ertoe te veronderstellen (of op zijn minst te raden) dat Mozilla het de moeite waard vond om een ​​officiële release uit te brengen met extra anti-hackingbescherming, voor het geval dat.

Uiteindelijk werd Firefox echter gehackt, in een glorieus goed voorbereide double-exploit-aanval die slechts zeven seconden om in te breken in de browser en vervolgens weer uit zijn beschermende omhulsel te breken voor een volledige sandbox-ontsnapping.

Het strekt tot eer dat Mozilla vervolgens 100.0.2 . heeft uitgebracht binnen 48 uur, met oplossingen voor beide nieuw bekendgemaakte bugs.

Minder drama deze keer

We twijfelen er daarom niet aan dat de iets minder dramatische release van 101.0, zonder zero-day beveiligingslekken en zonder patches kritisch, zal een opluchting zijn geweest voor het Mozilla-team.

Voor het geval je je afvraagt, dit was inderdaad de tweede volledige release van Firefox in de maand mei 2022, wat Mozilla's equivalent is van een blauwe maan. (De maan wordt niet echt blauw - dat is gewoon de bijnaam die wordt gebruikt wanneer er een tweede volle maan in een kalendermaand wordt geperst).

Dit wordt veroorzaakt door het feit dat Firefox-updates zijn gepland voor elke vierde dinsdag, dat is eens in de 28 dagen, in plaats van voor een specifieke dinsdag in elke maand, wat eens in de 30.5 dagen is.

Hoewel geen van de bugs opgelost in deze release zijn kritisch, zijn er tal van Hoge-categorie fixes, plus een handvol Matig degenen, waaronder:

  • CVE-2022-31737: Heapbufferoverloop in WebGL. Een kwaadaardige webpagina met boobytrap-afbeeldingen kan een geheugenbufferoverloop veroorzaken, wat doorgaans kan leiden tot een crash of misschien zelfs tot het uitvoeren van externe code.
  • CVE-2022-31738: Vervalsing van browservenster met modus voor volledig scherm. Het is niet de bedoeling dat webpagina's inhoud kunnen weergeven buiten de grenzen van hun eigen weergavegebied, waardoor de browser zelf volledige controle heeft over belangrijke componenten van de gebruikersinterface, zoals de adresbalk en navigatieknoppen. Een webpagina die de browser zou kunnen misleiden om naar het verkeerde deel van het scherm te schrijven, zou deze "heiligheid van weergave" -bescherming kunnen omzeilen.
  • CVE-2022-31739: Door een aanvaller beïnvloede padtraversal bij het opslaan van gedownloade bestanden. Wanneer u een bestandsnaam opgeeft in Windows, worden sommige tekens niet altijd letterlijk behandeld. Bijvoorbeeld een bestandsnaam van %HOMEPATH% wordt niet noodzakelijkerwijs opgeslagen onder die letter-voor-letter bestandsnaam. Tenzij je aan die procenttekens "ontsnapt" om te laten zien dat ze letterlijk bedoeld zijn, de speciale markering %HOMEPATH% wordt herschreven en vervangen door de werkelijke naam van uw thuismap. Insgelijks, %WINDIR% geeft aan waar Windows is geïnstalleerd, ongeacht de map die tijdens de installatie is gekozen. Programma's die bestandsnamen van niet-vertrouwde bronnen accepteren, moeten er daarom voor zorgen dat ze procenttekens 'ontsnappen', zodat ze precies bedoelen wat ze zeggen (een % karakter), in plaats van stiekem een ​​herschrijving te starten die een bestand van de ene map naar de andere kan leiden.
  • CVE-2022-31743: HTML-parsering heeft HTML-opmerkingen voortijdig beëindigd. Alles tussen een openingstekstreeks van <!-- en een afsluiting --> wordt behandeld als een HTML-opmerking en wordt overgeslagen wanneer het bestand daadwerkelijk wordt gebruikt. Als het einde van een opmerking verkeerd wordt herkend, kan dit leiden tot een anders onschuldig ogende pagina met inhoud die niet had mogen verschijnen, of tot een scriptelement dat wordt uitgevoerd, ook al moest het worden genegeerd.
  • CVE-2022-1919: Geheugencorruptie bij het manipuleren van webp-afbeeldingen. Deze bug was in wezen het tegenovergestelde van a gebruik-na-gratis, waarbij een programma een geheugenblok teruggeeft zodat het elders in het programma kan worden gebruikt, maar er toch naar blijft schrijven. Deze bug was wat je zou kunnen noemen een gratis-zonder-gebruik, waar Firefox probeerde geheugen te "teruggeven" dat het in de eerste plaats niet had gekregen. Dit kan leiden tot een crash of misschien zelfs tot uitvoering van externe code.

Naast deze specifieke bugs heeft Mozilla ook aangekondigd CVE-2022-31747 en CVE-2022-31748, kwetsbaarheidsnummers die een reeks algemene fouten in geheugenmisbeheer aanduiden die zijn gevonden door het Firefox-team en zijn geautomatiseerde hulpprogramma's voor het opsporen van fouten.

Deze bugs werden niet in detail onderzocht om te zien welke daadwerkelijk konden worden uitgebuit, maar er werd aangenomen dat ze potentieel exploiteerbaar waren en toch werden opgelost.

De eerste hiervan, CVE-2022-31747, geeft bugs aan die zijn opgelost in zowel de 101.0-release als de Extended Support-release 91.10 (merk op dat 91+10 = 101).

Dit houdt in dat die bugs in de codebase van Firefox zitten sinds de 91-release of zelfs eerder, aangezien ESR 91.10 bestaat uit de Firefox 91.0-code met alle tussentijdse beveiligingscorrecties toegepast, maar geen nieuwe functies toegevoegd.

De laatste aanduiding, CVE-2022-31748, geeft bugs aan die alleen in 101.0 zijn opgelost, en is een goede herinnering dat nieuwe functies de neiging hebben om nieuwe bugs met zich mee te brengen, en helpt verklaren waarom Mozilla zijn ESR-producttak handhaaft.

De ESR-smaak van Firefox is populair bij netwerkbeheerders die bereid zijn te wachten op nieuwe functies, maar niet ten koste van het draaien van software die verouderd is vanuit veiligheidsoogpunt.

Wat te doen?

Ga zoals gewoonlijk naar Help > Over Firefox om te controleren of u up-to-date bent en om een ​​update te forceren als blijkt dat u dat niet bent.

(Linux/Unix-gebruikers moeten mogelijk hun distro raadplegen voor updates als ze Firefox oorspronkelijk hebben geïnstalleerd via een door distro beheerd pakket in plaats van door Mozilla's eigen installatieprogramma te downloaden.)


spot_img

Laatste intelligentie

spot_img