Mozilla Firefox 100.0.2 版本发布 包含两个关键安全修复
Mozilla刚刚发布了一个新的Firefox浏览器版本,这次的小改版在安全方面却并不小。新的更新使浏览器达到了100.0.2版本,包括两个关键的安全修复。Mozilla已经将这两个安全修复标记为严重等级,它们是由趋势科技的零日计划的研究员Manfred Paul报告的,建议大家尽快安装。 下载地址: http://ftp.mozilla.org/pub/firefox/releases/100.0.2/ 第一个漏洞涉及顶级审计实施中的一个原型污染。 Mozilla说:”如果攻击者能够通过原型污染破坏JavaScript中Array对象的方法,他们就可以实现在特权环境下执行攻击者控制的JavaScript代码。” 第二个漏洞被记录在CVE-2022-1529中,是一个用于Javascript对象索引的不可信任的输入,Mozilla说它也导致了原型污染。 “该公司说:”攻击者可能向父进程发送一条消息,其中的内容被用来对一个JavaScript对象进行双重索引,导致原型污染,最终在有特权的父进程中执行攻击者控制的JavaScript。” 如前所述,建议所有用户尽快更新到最新的Firefox版本,特别是考虑到安全问题。 第三方统计数据显示,Google Chrome浏览器是市场上的头号选择,市场份额接近70%,亚军目前是由微软Edge拥有,而Firefox浏览器是市场上唯一的具有较大影响力的非Chromium浏览器。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1272291.htm 封面来源于网络,如有侵权请联系删除
Mozilla Firefox 58 版将不再接受沃通原根证书
Mozilla Firefox 在 9 月 1 日发布公告中声称将在 2018 年 1 月到来的 v58 版中删除沃通以及其相关联公司 StartCom 的原根证书,届时所有使用上述根证书签发的证书都将不再被信任。因此,仍在使用沃通以及 StartCom 原根证书签发证书的网站应该尽早更换其他受信任的证书。 基于此前沃通证书事故调查结果 Mozilla Firefox 已经在 2016 年 10 月开始停止信任由沃通以及 StartCom 签发的新证书,但在此之前签发的证书依然被 Mozilla Firefox 信任。本次 Mozilla Wiki 更新的 “ 即将删除的证书 ” 列表将沃通以及 StartCom 的七张证书加入其中,意味着在即将到来的 Mozilla Firefox v58 版中不管何时由上述公司原根证书签发的证书都将会不可信。 本次将被删除的证书及其公司如下: 所属组织:Government of Turkey, Kamu SM 根证书名称:TÜBİTAK UEKAE Kök Sertifika Hizmet Sağlayıcısı – Sürüm 3 所属组织:Start Commercial (StartCom) Ltd. 根证书名称:StartCom Certification Authority 所属组织:Start Commercial (StartCom) Ltd. 根证书名称:StartCom Certification Authority 所属组织:Start Commercial (StartCom) Ltd. 根证书名称:StartCom Certification Authority G2 所属组织:TurkTrust 根证书名称: TÜRKTRUST Elektronik Sertifika Hizmet Sağlayıcısı 2007 所属组织:WoSign CA Limited 根证书名称:CA WoSign ECC Root 所属组织:WoSign CA Limited 根证书名称:CA 沃通根证书 所属组织:WoSign CA Limited 根证书名称:Certification Authority of WoSign 所属组织:WoSign CA Limited 根证书名称:Certification Authority of WoSign G2 网站管理员应及时更换证书: 如果你的网站证书由上述公司签发那么应尽快更换新证书,如果不清楚证书的根证书名称可以点击证书详情查看三级证书链。即使是别的中级 CA 签发的但是根证书是上述公司的也必须更换。 据悉,沃通在此前的新闻稿中称该公司将会生成新的证书并进行更名,目前沃通已经在转售 Certum 以及 DigiCert 的证书。 稿源:cnBeta、蓝点网,封面源自网络;