Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Firefox 115 is uit, neemt afscheid van oudere Windows- en Mac-gebruikers

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 104
by Paul Ducklin

De laatste maandelijkse update van Firefox kwam net uit, waardoor de primaire versie van de populaire alternatieve browser naar 115.0.

OK, het is technisch gezien een update van eens in de vier weken, zodat er soms twee grote updates in één kalendermaand zullen zijn, net zoals je soms twee volle manen in een maand krijgt, maar deze maand is er maar één.

(Aan het einde van volgende maand, augustus 2023, zal er toevallig zowel een blauwe maan zijn, wat de term is die wordt gebruikt voor de tweede volle maan in één maand, als wat we naar analogie zullen aanduiden als een blauwe Firefox , met Firefox 116 op 01 augustus 2023 en Firefox 117 vier weken later op 29 augustus 2023.)

Vroegtijdige waarschuwing voor gebruikers van oude besturingssystemen

Mozilla's eigen Hoofd nieuws voor versie 115 is dat:

In januari 2023 beëindigde Microsoft de ondersteuning voor Windows 7 en Windows 8. Als gevolg hiervan is dit de laatste versie van Firefox die gebruikers op die besturingssystemen zullen ontvangen. […]

Evenzo is dit de laatste grote versie van Firefox die Apple macOS 10.12, 10.13 en 10.14 ondersteunt.

Als u vanaf volgende maand vastzit aan computers die alleen oudere, niet-ondersteunde versies van Windows en macOS kunnen draaien, wordt u automatisch overgeschakeld naar de Firefox ESR-versie.

ESR is een afkorting van Uitgebreide ondersteuningsrelease, een speciale Firefox-smaak die beveiligingsupdates krijgt, maar geen functie-updates.

Helaas absorbeert de ESR om de zoveel tijd alle functie-updates die zijn uitgesteld sinds de laatste keer dat de ESR "inhaalde", waarna het een jaar of zo stilletjes doorbrengt met het opnieuw krijgen van alleen beveiligingsupdates.

Met andere woorden, ESR-versies gaan iets meer dan een jaar mee voordat ze worden "opnieuw gebaseerd" op een recente hoofdversie, compleet met alle nieuwe functies uit de tussentijdse periode toegevoegd en alle nu verwijderde functies verwijderd.

Eind 2023 zal de ESR-release bijvoorbeeld 115.6 zijn, wat betekent dat het qua functies de versie van deze maand zal zijn, samen met alle beveiligingspatches die sindsdien zijn uitgekomen.

Maar in september 2024 wordt de laatste ESR-versie uitgebracht op basis van hoofdversie 115, namelijk ESR 115.15...

…waarna de oudste ondersteunde ESR-release gebaseerd zal zijn op de code van de hoofdversie 116 van volgende maand, die niet meer zal werken op uw oudere Windows- en Mac-apparaten.

Kortom, Windows 7, Windows 8 en macOS-before-Catalina (10.15) krijgen na september 2024 helemaal geen Firefox-updates meer, omdat zelfs de ESR-versie die platformen niet meer ondersteunt.

(Als u tegen die tijd uw computer niet kunt bijwerken, raden we u ten zeerste aan om over te schakelen naar een alternatief besturingssysteem dat op uw hardware wordt ondersteund, zoals Linux, zodat u niet alleen systeemupgrades kunt krijgen, maar ook een up-to-date browser kunt gebruiken .)

Patches deze maand

Gelukkig geen van deze maand beveiligingspatches worden vermeld als zero-days, wat betekent dat alle meegeleverde fixes betrekking hebben op bugs die op verantwoorde wijze zijn onthuld door externe onderzoekers of zijn ontdekt door Mozilla's eigen beveiligings- en ontwikkelingsteams.

Er zijn vier CVE-genummerde bugfixes beoordeeld Hoge, namelijk:

  • CVE-2023-37201: Gebruik-na-vrij bij het genereren van WebRTC-certificaten. Ironisch genoeg betekent dit dat een mogelijke bug voor het uitvoeren van externe code (waarbij een aanvaller zonder waarschuwing code op uw computer kan implanteren) kan worden geactiveerd tijdens het deel van een audio- of videogesprek dat verondersteld wordt een veilige, end-to-end verbinding tot stand te brengen. gecodeerd kanaal via HTTPS.
  • CVE-2023-37202: Potentieel gebruik-na-vrij door niet-overeenkomende compartimenten in SpiderMonkey. SpiderMonkey is de Mozilla-softwarecomponent die verantwoordelijk is voor het verwerken van JavaScript-code. Het uitvoeren van extern geleverde JavaScript zou "grotendeels onschadelijk" moeten zijn, omdat JavaScript-engines van browsers opzettelijk de schade beperken die externe JavaScript-code kan aanrichten. Tenzij natuurlijk de JavaScript-engine zelf een bug bevat die kan worden misbruikt, waardoor wat in het jargon bekend staat als een beveiliging ontsnapping of ontsnapping uit de zandbak.
  • CVE-2023-37211: Geheugenveiligheidsbugs verholpen in Firefox 115, Firefox ESR 102.13 en Thunderbird 102.13. Zoals gewoonlijk is Mozilla openhartig genoeg om toe te geven, zelfs voor automatisch gevonden bugs die uiteindelijk niet gevaarlijk blijken te zijn, "We nemen aan dat sommige hiervan met voldoende inspanning zouden kunnen worden misbruikt om willekeurige code uit te voeren."
  • CVE-2023-37212: Geheugenveiligheidsbugs opgelost in Firefox 115. Dit is nog een reeks mogelijke beveiligingsbugs die alleen in de nieuwste hoofdversie zijn gepatcht, maar niet in de huidige ESR 102.13-release, vermoedelijk omdat deze bugs zijn geïntroduceerd via nieuwe functies die zijn toegevoegd sinds versie 102 vorig jaar uitkwam. De zorg dat "nieuwe functies nieuwe bugs betekenen" is wat sommige gebruikers ertoe brengt om in de eerste plaats vast te houden aan ESR-releases. (Merk op dat u de twee getallen in de ESR-versie bij elkaar kunt optellen om u te vertellen hoe ver u bent in termen van beveiligingsupdates.)

Er zijn tal van andere Matig en Laag Ernstige bugs, waarvan er drie opvallen als interessant, althans naar onze mening:

  • CVE-2023-37204: Melding op volledig scherm verborgen via optie-element. Blijkbaar kan een malafide webpagina Firefox in volledig scherm schakelen en tegelijkertijd een achtergrondberekening starten om zoveel verwerkingskracht te gebruiken dat je de waarschuwing van de browser over het overnemen van het hele scherm niet zult zien. Houd er rekening mee dat een frauduleuze website overal op het scherm pixels kan schilderen in volledig scherm, inclusief realistische maar nep-dialoogvensters van het besturingssysteem, of een valse adresbalk met een nep-URL erin. Als gevolg hiervan kunnen waarschuwingen voordat u naar de modus Volledig scherm gaat, als essentieel worden beschouwd.
  • CVE-2023-37207: Melding op volledig scherm verborgen. Deze bug lijkt op de vorige, maar wordt niet geactiveerd door processortijd op te vreten, maar door te verwijzen naar een type URL (bijvoorbeeld een mailto:// link) die wordt afgehandeld door een extern programma in plaats van door de browser zelf.
  • CVE-2023-37205: URL-spoofing in adresbalk met tekens van rechts naar links. We weten niet precies hoe deze bug werkt of hoe hij kan worden misbruikt, maar de beschrijving suggereert dat een aanvaller een kwaadwillende domeinnaam in Latijns schrift kan krijgen door Arabische tekens in een URL te mengen met Latijnse tekens die het servernaamgedeelte specificeren. om "achterwaarts" te worden uitgeschreven. Dus een site die opdook als, laten we zeggen, moc.elpmaxe zou eigenlijk kunnen verwijzen naar de server op example.com. Met een zorgvuldig gekozen servernaam kan een onbekend en niet-vertrouwd domein worden vermomd als een bekende merknaam.

Wat te doen?

Open de Help > Over Firefox venster (of Firefox > Over Firefox op macOS) om te zien welke versie je momenteel hebt en om de nieuwste versie te downloaden als je verouderd bent.

Houd er rekening mee dat als u maanden verouderd bent, u mogelijk niet in één keer de nieuwste versie krijgt, dus ga terug naar de Over Firefox dialoogvenster opnieuw om te controleren of er geen extra update-“sprongen” zijn die u moet voltooien.

Als Firefox wordt geleverd door uw Linux- of BSD-distributie, neem dan contact op met de distro zelf voor de nieuwste versie.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.