Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Firefox bereikt 100*, lost bugs op... maar geen nieuwe zero-days deze maand

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 66

by
Paul Ducklin

Firefox heeft Chromium tot aan de eeuwwisseling gevolgd en bereikte een score van 100 * met de laatste geplande bijna maandelijkse release.

Voor lezers zonder het sportieve geluk van het leven in een land waar cricket wordt gespeeld: een individuele score van 100 in één beurt, ook wel bekend als een eeuw of ton, wordt als een opmerkelijke prestatie beschouwd.

Het toevoegen van een asterisk na de score betekent "niet uit", met andere woorden dat de slagman nog steeds sterk bezig is (of hun innings heeft voltooid zonder er helemaal uit te komen), waardoor de prestatie nog opmerkelijker wordt.

We weten dat je je afvraagt, en als je dat niet bent, zou je dat moeten zijn, dus we zullen vermelden dat van 1959 tot 1994 de hoogste score ooit wereldwijd in eersteklas cricket 499 was, zonder sterretje, tegen de late, geweldige Pakistaanse slagman Hanif Mohammed. Wanhopig om 500 te bereiken voordat hij geen slagtijd meer had, nam hij een vermoeid risico voor die magische 500e run, maar kwam er een te kort. Dat totaal werd pas in 1994 overtroffen, toen de West-Indische slagman Brian Lara 501* bereikte, een record dat sindsdien standhoudt. Inderdaad, de enige eersteklas score van 400 of meer sinds Lara's 501* was Lara's eigen 400* in 2004, toen ze speelde in een interland tegen Engeland in Antigua. Met de huidige releasesnelheid van eens in de vier weken, heeft Firefox iets meer dan 23 jaar te gaan om Lara's viervoudige eeuw te evenaren, en bijna 30 jaar om 502* te bereiken.

Geen problemen bij de versienummermolen

Eerder dit jaar schreven we over de mogelijke verwarring dat Chrome (nu op 101) en Firefox (vandaag 100) voor sommige gebruikers kunnen veroorzaken ...

… niet door een fout van Google of Mozilla, de respectievelijke curatoren van de Chromium- en Firefox-codebases, maar omdat in ieder geval een paar webservers de driecijferige versienummers niet correct leken te herkennen.

De websites van vandaag de dag steeds funkier en steeds scherper om u te volgen, kijken graag naar uw HTTP-headers om te proberen te achterhalen welke browser u gebruikt en welke versie u gebruikt, bijvoorbeeld door het ontleden van de User-Agent header om te beslissen wat voor soort inhoud moet worden teruggestuurd.

Na het updaten, onze Firefox User-Agent string ziet er nu als volgt uit:

GET / HTTP/1.1 Host: testsite.example
Gebruikersagent: Mozilla/5.0 (X11; Linux x86_64; rv:100.0) Gecko/20100101 Firefox/100.0
Accept-Encoding: gzip, deflate, br Connection: keep-alive Upgrade-Insecure-Requests: 1 [. . . .]

In februari 2022 leken een paar reguliere sites niet te beseffen dat 100 groter was dan 99, vermoedelijk omdat ze hard gecodeerd waren om alleen de eerste (of laatste) twee tekens van het versienummer te gebruiken, millennium bug-stijl, dus de tekst draaien 100 ofwel in het getal 10, ofwel in het getal nul.

Gelukkig hebben we geen zichtbare problemen gehad met Edge, dat is gebaseerd op Chromium en begin april is omgedraaid van 99 naar 100 (Firefox net voor blijvend met 101 uit begin mei), en in de weinige uur dat we Firefox 100.0 hebben gebruikt, hebben we ook geen problemen gehad.

We gaan ervan uit dat de laatste paar slecht gecodeerde websites hun server-side code in de tussentijd hebben gerepareerd, of dat de "speciale gevallen"-lijsten met probleemsites die de afgelopen maanden door Google en Firefox zijn gemaakt, eventuele problemen hebben onderdrukt, bijvoorbeeld door waardoor beide browsers kunnen doen alsof ze nog steeds versie 99 zijn.

Bugfixes in deze update

Het goede nieuws is dat geen van de beveiligingsbugs is gepatcht in Firefox 100 (of de equivalente langetermijnversie 91.9 ESR, die de functieset van Firefox 91 heeft plus nog eens 9 versies aan kwetsbaarheidsupdates om het op een cyberbeveiligingsniveau te brengen met 100) wordt als "kritiek" beschouwd en er staan ​​geen zero-day holes op de lijst.

Desalniettemin behandelen de patches een intrigerende reeks beveiligingsproblemen, wat ons er allemaal aan herinnert hoezeer we op onze browsers vertrouwen om het juiste te doen als het gaat om cyberbeveiliging.

CVE-genummerde kwetsbaarheden die in deze update worden behandeld, zijn onder meer:

  • CVE-2022-29914. Omzeiling van meldingen op volledig scherm met behulp van pop-ups. Een aanvaller die de juiste truc kende, zou misleidende of frauduleuze inhoud hebben kunnen opduiken die eruitzag als een officiële melding die door Firefox zelf werd gepresenteerd. Pop-ups en pagina-inhoud moeten gemakkelijk te onderscheiden zijn van informatie die uit de browser komt. Daarom mag een webpagina geen misleidende afbeelding boven aan de adresbalk plaatsen die aangeeft op welke website u zich bevindt , of om een ​​dialoogvenster te presenteren dat eruitziet als een officiële browserbeveiligingswaarschuwing, maar een oneerlijk verhaal vertelt.
  • CVE-2022-29916. Lekkende browsergeschiedenis met CSS-variabelen. Het is niet de bedoeling dat websites een lijst kunnen ophalen van andere sites die u heeft bezocht zonder uw toestemming. Dit schendt niet alleen uw privacy, maar verschaft cybercriminelen ook nuttige informatie die hen kan helpen bij toekomstige aanvallen op u of uw bedrijf.
  • CVE-2022-29910. Firefox voor Android vergat HTTP Strict Transport Security (HSTS) instellingen. HSTS is een lokale database die door uw browser wordt onderhouden en die aangeeft welke websites moeten worden bezocht met HTTPS, zelfs als u op een link klikt of een URL typt die begint met gewoon oud http://. Hoewel de meeste websites HTTP-verbindingen toch onmiddellijk doorsturen naar de bijbehorende HTTPS-pagina, kan die initiële HTTP-verbinding worden gekaapt omdat er geen codering of integriteitscontrole is van de teruggestuurde omleidingsgegevens. HSTS beperkt daarom uw blootstelling tot uw allereerste bezoek aan een site, wanneer de HSTS-instelling wordt geactiveerd, wat een stuk veiliger is dan het risico te lopen dat u elke keer dat u een site bezoekt de onveilige omleiding riskeert.
  • CVE-2022-29917 en -29918. Geheugenveiligheidsbugs opgelost in Firefox 100 en 91.9 ESR. Zoals gewoonlijk geven de Mozilla-codeerders openlijk toe dat "we nemen aan dat met voldoende inspanning sommige van deze [bugs] hadden kunnen worden misbruikt om willekeurige code uit te voeren." Met andere woorden, deze update is alleen al om deze reden de moeite waard, aangezien exploits veel gemakkelijker te achterhalen zijn voor aanvallers nadat ze zijn gepatcht, omdat de wijzigingen in de code in wezen fungeren als hints over waar ze moeten zoeken en wat ze moeten doen. zoeken.

Wat te doen?

Te gebruiken Help > Over Firefox om een ​​handmatige controle op updates te forceren.

Onthoud dat zelfs als je automatische updates hebt ingeschakeld, het de moeite waard is om te controleren of je de update correct hebt ontvangen, in plaats van er gewoon van uit te gaan dat het werkte.

Dialoogvenster "Over Firefox" met een onmiddellijke update naar 100,0.
spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat met ons

Hallo daar! Hoe kan ik u helpen?