Chrome 138, Firefox 140 - ko‘plab zaifliklar tuzatildi
2
29
0
Chrome 138 va Firefox 140 umumiy adadda 20 dan ziyod zaifliklarni, jumladan yuqori darajadagi xotira xavfsizligi muammolarini tuzatadigan yangilanishlarni tarqatmoqda.
Chrome va Firefoxning yangi barqaror talqinlari chorshanba kuni chiqarildi va ular mashhur veb-brauzerlardagi yigirmagdan ziyod zaifliklarni, jumladan yuqori darajadagi xotira xavfsizligi nuqsonlarini tuzatadi.
Chrome 138-talqini 11 ta xavfsizlik muammosini bartaraf etadi, ular orasida xavfsizlik tadqiqotchilari tomonidan xabar qilingan o‘rta va past darajadagi xatolar ham bor.
Jumladan, Animation komponentidagi use-after-free xatosi, u uchun Google $4 000 mukofot to‘lagan. Shuningdek, Loaderdagi yetarlicha siyosatni amalga oshirish muammosi va DevToolsdagi yetarli bo‘lmagan ma’lumotlarni tekshirish nuqsonlari uchun tadqiqotchilar har biridan $1 000 mukofot olishgan.
Chromening ushbu eng yangi talqini Linux uchun 138.0.7204.49 versiyasida, Windows va macOS uchun esa 138.0.7204.49/50 versiyalarida tarqatilmoqda.
Google tuzatilgan zaifliklardan birortasi amaldagi hujumlarda eksploit qilinganini qayd etmagan, ammo foydalanuvchilarga iloji boricha tezroq brauzerlarini yangilash tavsiya etiladi.
Chorshanba kuni Mozilla Firefox 140 versiyasini barqaror kanalga chiqarib, 13 ta xavfsizlik nuqsoni uchun tuzatmalar e’lon qildi va Firefox ESR 128.12 hamda Firefox ESR 115.25 yangilanishlarini ham taqdim etdi.
Firefoxning ushbu so‘nggi yangilanishida tuzatilgan CVElardan ikkitasi yuqori darajadagi xotira xavfsizligi muammolaridir: FontFaceSetdagi use-after-free xatosi va xotirani buzish (memory corruption) nuqsonlari bo‘lib, ular yetarli urinish bilan masofaviy kodni ishga tushirish uchun eksploit qilinishi mumkin.
Yangilanish shuningdek o‘rta darajadagi oltita zaiflikni tuzatadi, jumladan brauzerni aniqlash uchun doimiy UUIDni oshkor qilish, terminal kengaytmali fayllarni ochishda ogohlantirish yetishmasligi, siyosatni chetlab o‘tish, Androiddagi fishing hujumlari, xavfsizlik tekshiruvlarini chetlab o‘tish va saytlararo skriptlash (XSS) hujumlari.
Firefox ESR 128.12 talqini ushbu zaifliklarning beshtasini tuzatadigan yangilanishlar bilan chiqarildi, Firefox ESR 115.25 esa ikkita tuzatma bilan taqdim etildi. Mozilla bu xatolardan birortasi amalda eksploit qilinganini tilga olmagan.
