Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Browser / Firefox

Firefox

Microsoft memperbaiki bug Windows Defender berusia 5 tahun yang mematikan kinerja Firefox

by

Selama lebih dari lima tahun, perlindungan keamanan yang diberikan oleh Microsoft Defender berdampak negatif terhadap pengguna Firefox selama sesi penjelajahan web mereka. Komponen Antimalware Service Executable dari Defender (MsMpEng.exe) bertingkah aneh, menunjukkan penggunaan CPU yang tinggi saat Firefox dijalankan pada waktu yang bersamaan.

Firefox mengandalkan dan mengeksekusi sejumlah besar panggilan ke fungsi VirtualProtect kernel OS sambil melacak kejadian Windows (ETW). VirtualProtect adalah fungsi untuk mengubah “perlindungan pada wilayah halaman yang berkomitmen di ruang alamat virtual dari proses pemanggilan,” Microsoft menjelaskan, dan Defender melakukan banyak “perhitungan yang tidak berguna” pada setiap peristiwa sementara Firefox menghasilkan banyak acara ETW.

Pengembang Mozilla mengatakan bahwa pembaruan Defender akan memberikan peningkatan besar-besaran ~75% dalam penggunaan CPU dari MsMpEng.exe saat menjelajah web dengan Firefox. Dengan perbaikan tersebut, fitur Perlindungan Real-time Defender – yang diaktifkan secara default di Windows – akan mengkonsumsi lebih sedikit CPU daripada sebelumnya saat memantau perilaku dinamis program apa pun melalui ETW.

Microsoft juga membawa pembaruan ke sistem Windows 7 dan Windows 8.1 yang sekarang sudah usang, karena Firefox akan tetap mendukung kedua sistem operasi tersebut “setidaknya” hingga 2024. Selanjutnya, para insinyur Mozilla mengatakan bahwa “penemuan terbaru” dibuat saat menganalisis bug Defender yang aneh akan membantu Firefox “melangkah lebih jauh dalam penggunaan CPU,” dengan semua perangkat lunak antivirus lainnya dan bukan hanya Defender kali ini.

selengkapnya : techspot.com

Mozilla Memperbaiki Bug CSS 18 Tahun Lalu di Peramban Firefox

by

Mengapa penting? Ada kelemahan perangkat lunak yang cenderung bertahan bahkan di proyek yang paling aktif. Peramban sumber terbuka seperti Firefox, bagaimanapun berusaha untuk menjadi pembuat rekor sejati dengan bug yang sudah berumur puluhan tahun diperbaiki tepat pada waktunya untuk Natal.

Cacat pada peramban Firefox terselesaikan tepat setelah dewasa. Bug 290125 pertama kali dibuka 18 tahun lalu ketika pengembang Mozilla menemukan bahwa browser open source tidak benar dalam menangani elemen pseudo CSS ::first-letter.

Elemen semu CSS ::first-letter menerapkan gaya ke huruf pertama dari baris pertama elemen tingkat blok, tetapi hanya jika tidak didahului oleh konten lain. Gecko, mesin tata letak Firefox, mengabaikan ketinggian garis yang dinyatakan dan mewarisi ketinggian garis dari kotak induk.

Perilaku yang salah mencegah penulis memposisikan huruf pertama dengan mengurangi kotak garis melalui penggunaan tinggi garis kecil. Hasil akhirnya adalah Firefox membuat huruf pertama salah, di mana browser lain saat itu menangani fitur CSS dengan benar.

Perbandingan hasil penulisan huruf pertama Firefox dengan browser lain

Masalah awal dilaporkan pada 12 April 2005 dalam rilis besar pertama Firefox (1.0). Kemudian perbaikan pertama datang dengan Firefox 3.0 pada tahun 2007, ketika rendering ketinggian garis berbeda pada platform Mac diselesaikan oleh pengembang Mozilla. Bug tersebut kemudian dibuka kembali pada tahun 2014 ketika CSS Working Group, dan selesai pada 20 Desember 2022.

Menurut penjelasan pengembang Mozilla, Jonathan Kew, solusi yang sedang diadopsi adalah tambalan yang dirancang untuk meminimalkan risiko dan membuatnya mudah untuk beralih antara perilaku lama yang ada dari mesin tata letak Gecko dan perilaku kompatibel yang baru.

Selengkapnya: TECHSPOT

Mozilla Merilis Pembaruan Keamanan untuk Firefox, Firefox ESR, dan Thunderbird

by

Mozilla mengumumkan pembaruan keamanan pada situs resminya pada hari rabu, 29 Juni. Versi baru Firefox ini adalah Firefox 102, Firefox ESR 91.11, Thunderbird 91.11 dan 102.

Pembaruan ini memperbaiki 21 kerentanan yang dapat dieksploitasi untuk memicu Denial of Service, spoofing, eksekusi kode jarak jauh, pengungkapan informasi sensitif, manipulasi data, dan bypass pembatasan keamanan pada sistem yang ditargetkan.

Oleh karena itu, pengguna disarankan untuk segera melakukan keamanan.

Sumber:
Firefox 102
Thunderbird 91.11 and Thunderbird 102
Firefox ESR 91.11
HKCERT

Mozilla Rilis Produk Keamanan untuk Beberapa Produk Firefox

by

Mozilla mengumumkan pembaruan keamanan pada situs resminya pada hari jum’at, 20 mei. Versi baru Firefox ini adalah Firefox 100.0.2, Firefox ESR 91.9.1, Thunderbird 91.9.1 dan Firefox untuk Android 100.3.

Pembaruan ini memperbaiki 2 kerentanan, yang dapat dieksploitasi untuk mengendalikan sistem yang terpengaruh. Kerentanan tersebut adalah :

  • CVE-2022-1802: Polusi prototipe dalam implementasi Tingkat Atas Menunggu. Jika penyerang dapat merusak metode objek Array dalam JavaScript melalui polusi prototipe, mereka dapat mencapai eksekusi kode JavaScript yang dikendalikan penyerang dalam konteks istimewa.
  • CVE-2022-1529: Input tidak tepercaya yang digunakan dalam pengindeksan objek JavaScript, yang menyebabkan polusi prototipe. Penyerang bisa saja mengirim pesan ke proses induk di mana konten digunakan untuk mengindeks ganda ke objek JavaScript, yang mengarah ke polusi prototipe dan akhirnya JavaScript yang dikendalikan penyerang mengeksekusi dalam proses induk yang diistimewakan.

Oleh karena itu, pengguna disarankan untuk segera melakukan pembaruan keamanan.

Sumber: Mozilla Update

Mozilla memperbaiki bug Firefox yang memungkinkan Anda mendapatkan hak istimewa admin Windows

by

Mozilla merilis pembaruan keamanan untuk mengatasi kerentanan eskalasi hak istimewa tingkat keparahan tinggi yang ditemukan di Layanan Mozilla Maintenance.

Layanan Mozilla Maintenance adalah layanan Firefox dan Thunderbird opsional yang memungkinkan pembaruan aplikasi di latar belakang.

Ini memberi pengguna Firefox pengalaman pembaruan tanpa batas di mana mereka tidak lagi diharuskan mengklik ‘Ya’ di dialog Windows User Account Control (UAC) sebelum memperbarui web browser atau klien email mereka.

Mozilla memperbaiki kelemahan keamanan eskalasi hak istimewa yang dilacak sebagai CVE-2022-22753 hari ini, dengan merilis Firefox 97.

Eksploitasi yang berhasil pada sistem yang tidak ditambal dapat membuat penyerang meningkatkan hak istimewa mereka ke hak akun NT AUTHORITY\SYSTEM (tingkat hak istimewa tertinggi pada sistem Windows).

Mozilla juga mengatakan bahwa Firefox 97 mengatasi beberapa bug keamanan memori yang ditemukan oleh pengembang dan komunitas Mozilla di Firefox 96 dan Firefox ESR 91.5.

Rilis hari ini juga hadir dengan fitur-fitur baru seperti dukungan untuk gaya baru scrollbar di Windows 11 dan perbaikan, termasuk peningkatan pemuatan font sistem macOS yang membuat pembukaan dan peralihan ke tab baru lebih cepat.

Selengkapnya: Bleeping Computer

Firefox Focus sekarang memblokir pelacakan lintas situs di perangkat Android

by

Browser web Mozilla Firefox Focus sekarang dapat melindungi pengguna Android dari pelacakan lintas situs saat menjelajahi Internet dengan mencegah cookie digunakan untuk mengiklankan dan memantau aktivitas Anda.

Firefox Focus adalah peramban ringan untuk platform seluler (Android dan iOS) yang dirancang untuk melindungi privasi pengguna dengan memblokir iklan dan pelacak konten.

Total Cookie Protection, fitur di balik kemampuan baru ini, dirancang untuk memaksa semua situs menyimpan cookie mereka di “guci” terpisah untuk memblokir upaya melacak Anda di seluruh web dan membuat profil penjelajahan.

Pertama kali diperkenalkan oleh Mozilla pada Februari 2021 dengan Firefox 86 untuk desktop, fitur privasi ini melakukannya dengan memberi tahu browser untuk menggagalkan pembagian cookie antar situs web.

Empat bulan kemudian, pada Juni 2021, Mozilla mengaktifkan Total Cookie Protection secara default di jendela Penjelajahan Pribadi, dimulai dengan Firefox 89.

Sumber: Mozilla

Langkah ini merupakan bagian dari serangkaian perubahan Mozilla pada browser Firefox sambil memerangi upaya pelacakan online perusahaan teknologi iklan.

Selengkapnya: Bleeping Computer

Mozilla Memblokir Add-On Berbahaya Yang Telah Dipasang Oleh 455 Ribu Pengguna Firefox

by

Mozilla memblokir add-on Firefox berbahaya yang dipasang oleh sekitar 455.000 pengguna setelah menemukan pada awal Juni bahwa mereka menyalahgunakan API proxy untuk memblokir pembaruan Firefox.

Add-on (bernama Bypass dan Bypass XM) menggunakan API untuk mencegat dan mengarahkan permintaan web untuk memblokir pengguna dari mengunduh pembaruan, memperbarui konten yang dikonfigurasi dari jarak jauh, dan mengakses daftar blokir yang diperbarui.

“Dimulai dari Firefox 91.1, Firefox sekarang menyertakan perubahan untuk kembali ke koneksi langsung ketika Firefox membuat permintaan penting (seperti untuk pembaruan) melalui konfigurasi proxy yang gagal.

“Memastikan permintaan ini diselesaikan dengan sukses membantu kami memberikan pembaruan dan perlindungan penting terbaru kepada pengguna kami.”

Untuk memblokir add-on berbahaya serupa untuk menyalahgunakan API yang sama, Mozilla telah menambahkan add-on sistem (tersembunyi, tidak mungkin dinonaktifkan, dan dapat diperbarui tanpa henti) yang disebut Proxy Failover.

Add-on baru ini mencegah upaya untuk mengganggu mekanisme pembaruan di versi Firefox saat ini dan yang lebih lama.

Microsoft Defender adalah satu-satunya solusi anti-malware yang mendeteksi add-on sebagai berbahaya, menandainya sebagai BrowserModifier:JS/BypassPaywall.A.

Jika Anda tidak menjalankan Firefox 93 dan belum menonaktifkan pembaruan browser, Anda mungkin terpengaruh oleh masalah ini. Untuk memastikan, coba perbarui Firefox ke versi terbaru karena versi terbaru sudah di-bundle dengan blocklist yang diperbarui yang dirancang untuk menonaktifkan add-on berbahaya ini secara otomatis.

Selengkapnya: Bleeping Computer

Firefox Sekarang Mengirim “Keystrokes” Bilah Alamat Anda ke Mozilla

by

Firefox sekarang mengirimkan lebih banyak data daripada yang Anda kira ke Mozilla. Untuk memperkuat Firefox Suggest, Firefox mengirimkan penekanan tombol yang Anda ketikkan ke bilah alamat, informasi lokasi Anda, dan lainnya ke server Mozilla.

Perubahan ini dibuat sebagai bagian dari pengenalan Firefox Suggest di Firefox 93, yang dirilis pada 5 Oktober 2021. Sebagai bagian dari Firefox Suggest, Firefox mendapatkan iklan di bilah pencarian Anda—tetapi itu bukan satu-satunya hal yang akan menjadi berita lama. pengguna Firefox.

Menurut Mozilla, “Firefox Suggest bertindak sebagai panduan tepercaya untuk web yang lebih baik, menampilkan informasi dan situs yang relevan untuk membantu orang mencapai tujuan mereka.”

Ini artinya, ketika Anda mulai mengetik di bilah alamat, Anda tidak hanya akan melihat saran pencarian standar dari Google atau mesin default pencarian Anda saat ini. Anda juga akan melihat hasil “Firefox Suggest” yang mengarah ke halaman web. Beberapa di antaranya adalah iklan bersponsor, tetapi Anda dapat menonaktifkan iklan tersebut.

Firefox Suggest aktif secara default. Posting blog Mozilla pada subjek mengatakan Firefox Suggest adalah “pengalaman opt-in,” yang terjadi pada September 2021 — tetapi sekarang diaktifkan secara default di Firefox 93.

Anda dapat menonaktifkan hasil yang disarankan Firefox, jika Anda mau. Ini akan menghentikan Mozilla mengumpulkan data yang Anda ketik di bilah pencarian, dan juga akan menonaktifkan hasil dan iklan yang disarankan.

Untuk melakukannya, buka Firefox dan klik menu > Settings. Pilih “Privasi & Keamanan” di panel kiri, dan gulir ke bawah ke “Bilah Alamat – Saran Firefox.” Nonaktifkan “Saran kontekstual” dan “Sertakan saran sponsor sesekali” untuk menghentikan Firefox mengirim data ke Mozilla.

Selengkapnya: How-To Geek