Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Mozilla

Mozilla

Mozilla Memperbaiki Bug CSS 18 Tahun Lalu di Peramban Firefox

by

Mengapa penting? Ada kelemahan perangkat lunak yang cenderung bertahan bahkan di proyek yang paling aktif. Peramban sumber terbuka seperti Firefox, bagaimanapun berusaha untuk menjadi pembuat rekor sejati dengan bug yang sudah berumur puluhan tahun diperbaiki tepat pada waktunya untuk Natal.

Cacat pada peramban Firefox terselesaikan tepat setelah dewasa. Bug 290125 pertama kali dibuka 18 tahun lalu ketika pengembang Mozilla menemukan bahwa browser open source tidak benar dalam menangani elemen pseudo CSS ::first-letter.

Elemen semu CSS ::first-letter menerapkan gaya ke huruf pertama dari baris pertama elemen tingkat blok, tetapi hanya jika tidak didahului oleh konten lain. Gecko, mesin tata letak Firefox, mengabaikan ketinggian garis yang dinyatakan dan mewarisi ketinggian garis dari kotak induk.

Perilaku yang salah mencegah penulis memposisikan huruf pertama dengan mengurangi kotak garis melalui penggunaan tinggi garis kecil. Hasil akhirnya adalah Firefox membuat huruf pertama salah, di mana browser lain saat itu menangani fitur CSS dengan benar.

Perbandingan hasil penulisan huruf pertama Firefox dengan browser lain

Masalah awal dilaporkan pada 12 April 2005 dalam rilis besar pertama Firefox (1.0). Kemudian perbaikan pertama datang dengan Firefox 3.0 pada tahun 2007, ketika rendering ketinggian garis berbeda pada platform Mac diselesaikan oleh pengembang Mozilla. Bug tersebut kemudian dibuka kembali pada tahun 2014 ketika CSS Working Group, dan selesai pada 20 Desember 2022.

Menurut penjelasan pengembang Mozilla, Jonathan Kew, solusi yang sedang diadopsi adalah tambalan yang dirancang untuk meminimalkan risiko dan membuatnya mudah untuk beralih antara perilaku lama yang ada dari mesin tata letak Gecko dan perilaku kompatibel yang baru.

Selengkapnya: TECHSPOT

Mozilla Merilis Pembaruan Keamanan untuk Firefox, Firefox ESR, dan Thunderbird

by

Mozilla mengumumkan pembaruan keamanan pada situs resminya pada hari rabu, 29 Juni. Versi baru Firefox ini adalah Firefox 102, Firefox ESR 91.11, Thunderbird 91.11 dan 102.

Pembaruan ini memperbaiki 21 kerentanan yang dapat dieksploitasi untuk memicu Denial of Service, spoofing, eksekusi kode jarak jauh, pengungkapan informasi sensitif, manipulasi data, dan bypass pembatasan keamanan pada sistem yang ditargetkan.

Oleh karena itu, pengguna disarankan untuk segera melakukan keamanan.

Sumber:
Firefox 102
Thunderbird 91.11 and Thunderbird 102
Firefox ESR 91.11
HKCERT

Mozilla Rilis Produk Keamanan untuk Beberapa Produk Firefox

by

Mozilla mengumumkan pembaruan keamanan pada situs resminya pada hari jum’at, 20 mei. Versi baru Firefox ini adalah Firefox 100.0.2, Firefox ESR 91.9.1, Thunderbird 91.9.1 dan Firefox untuk Android 100.3.

Pembaruan ini memperbaiki 2 kerentanan, yang dapat dieksploitasi untuk mengendalikan sistem yang terpengaruh. Kerentanan tersebut adalah :

  • CVE-2022-1802: Polusi prototipe dalam implementasi Tingkat Atas Menunggu. Jika penyerang dapat merusak metode objek Array dalam JavaScript melalui polusi prototipe, mereka dapat mencapai eksekusi kode JavaScript yang dikendalikan penyerang dalam konteks istimewa.
  • CVE-2022-1529: Input tidak tepercaya yang digunakan dalam pengindeksan objek JavaScript, yang menyebabkan polusi prototipe. Penyerang bisa saja mengirim pesan ke proses induk di mana konten digunakan untuk mengindeks ganda ke objek JavaScript, yang mengarah ke polusi prototipe dan akhirnya JavaScript yang dikendalikan penyerang mengeksekusi dalam proses induk yang diistimewakan.

Oleh karena itu, pengguna disarankan untuk segera melakukan pembaruan keamanan.

Sumber: Mozilla Update

Mozilla memperbaiki bug Firefox yang memungkinkan Anda mendapatkan hak istimewa admin Windows

by

Mozilla merilis pembaruan keamanan untuk mengatasi kerentanan eskalasi hak istimewa tingkat keparahan tinggi yang ditemukan di Layanan Mozilla Maintenance.

Layanan Mozilla Maintenance adalah layanan Firefox dan Thunderbird opsional yang memungkinkan pembaruan aplikasi di latar belakang.

Ini memberi pengguna Firefox pengalaman pembaruan tanpa batas di mana mereka tidak lagi diharuskan mengklik ‘Ya’ di dialog Windows User Account Control (UAC) sebelum memperbarui web browser atau klien email mereka.

Mozilla memperbaiki kelemahan keamanan eskalasi hak istimewa yang dilacak sebagai CVE-2022-22753 hari ini, dengan merilis Firefox 97.

Eksploitasi yang berhasil pada sistem yang tidak ditambal dapat membuat penyerang meningkatkan hak istimewa mereka ke hak akun NT AUTHORITY\SYSTEM (tingkat hak istimewa tertinggi pada sistem Windows).

Mozilla juga mengatakan bahwa Firefox 97 mengatasi beberapa bug keamanan memori yang ditemukan oleh pengembang dan komunitas Mozilla di Firefox 96 dan Firefox ESR 91.5.

Rilis hari ini juga hadir dengan fitur-fitur baru seperti dukungan untuk gaya baru scrollbar di Windows 11 dan perbaikan, termasuk peningkatan pemuatan font sistem macOS yang membuat pembukaan dan peralihan ke tab baru lebih cepat.

Selengkapnya: Bleeping Computer

Firefox Focus sekarang memblokir pelacakan lintas situs di perangkat Android

by

Browser web Mozilla Firefox Focus sekarang dapat melindungi pengguna Android dari pelacakan lintas situs saat menjelajahi Internet dengan mencegah cookie digunakan untuk mengiklankan dan memantau aktivitas Anda.

Firefox Focus adalah peramban ringan untuk platform seluler (Android dan iOS) yang dirancang untuk melindungi privasi pengguna dengan memblokir iklan dan pelacak konten.

Total Cookie Protection, fitur di balik kemampuan baru ini, dirancang untuk memaksa semua situs menyimpan cookie mereka di “guci” terpisah untuk memblokir upaya melacak Anda di seluruh web dan membuat profil penjelajahan.

Pertama kali diperkenalkan oleh Mozilla pada Februari 2021 dengan Firefox 86 untuk desktop, fitur privasi ini melakukannya dengan memberi tahu browser untuk menggagalkan pembagian cookie antar situs web.

Empat bulan kemudian, pada Juni 2021, Mozilla mengaktifkan Total Cookie Protection secara default di jendela Penjelajahan Pribadi, dimulai dengan Firefox 89.

Sumber: Mozilla

Langkah ini merupakan bagian dari serangkaian perubahan Mozilla pada browser Firefox sambil memerangi upaya pelacakan online perusahaan teknologi iklan.

Selengkapnya: Bleeping Computer

Mozilla memperbaiki bug kritis di perpustakaan kriptografi lintas platform

by

Mozilla telah mengatasi kerentanan kerusakan memori kritis yang memengaruhi rangkaian pustaka kriptografi Layanan Keamanan Jaringan (NSS) lintas platform.

NSS dapat digunakan untuk mengembangkan aplikasi klien dan server yang mendukung keamanan dengan dukungan untuk sertifikat SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3, dan berbagai sertifikat lainnya. standar keamanan.

Kelemahan keamanan ditemukan oleh peneliti kerentanan Google Tavis Ormandy dalam versi NSS sebelum 3.73 atau 3.68.1 ESR—yang juga menjulukinya BigSig—dan sekarang dilacak sebagai CVE-2021-43527.

Ini dapat menyebabkan buffer overflow berbasis heap saat menangani tanda tangan DSA atau RSA-PSS yang dikodekan DER di klien email dan pemirsa PDF menggunakan versi NSS yang rentan (bug telah diperbaiki di NSS 3.68.1 dan NSS 3.73).

Dampak dari eksploitasi heap overflow yang berhasil dapat berkisar dari crash program dan eksekusi kode arbitrer hingga melewati perangkat lunak keamanan jika eksekusi kode tercapai.

“Aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dikodekan dalam CMS, S/MIME, PKCS #7, atau PKCS #12 kemungkinan akan terpengaruh,” kata Mozilla dalam peringatan keamanan yang dikeluarkan hari ini.

“Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsionalitas TLS, X.509, OCSP, atau CRL lainnya dapat terpengaruh, bergantung pada cara mereka mengonfigurasi NSS.”

“Kami yakin semua versi NSS sejak 3.14 (dirilis Oktober 2012) rentan,” Ormandy menambahkan pada pelacak masalah Project Zero.

Untungnya, menurut Mozilla, kerentanan ini tidak memengaruhi browser web Mozilla Firefox. Namun, semua pemirsa PDF dan klien email yang menggunakan NSS untuk verifikasi tanda tangan diyakini akan terpengaruh.

NSS digunakan oleh Mozilla, Red Hat, SUSE, dan lainnya dalam berbagai macam produk, termasuk:

  • Firefox, Thunderbird, SeaMonkey, dan Firefox OS.
  • Aplikasi klien sumber terbuka seperti Evolution, Pidgin, Apache OpenOffice, dan LibreOffice.
  • Produk server dari Red Hat: Red Hat Directory Server, Red Hat Certificate System, dan modul SSL mod_nss untuk server web Apache.
  • Produk server dari Oracle (sebelumnya Sun Java Enterprise System), termasuk Oracle Communications Messaging Server dan Oracle Directory Server Enterprise Edition.
  • SUSE Linux Enterprise Server mendukung NSS dan modul SSL mod_nss untuk server web Apache.

Sumber : Bleeping Computer

Mozilla Memblokir Add-On Berbahaya Yang Telah Dipasang Oleh 455 Ribu Pengguna Firefox

by

Mozilla memblokir add-on Firefox berbahaya yang dipasang oleh sekitar 455.000 pengguna setelah menemukan pada awal Juni bahwa mereka menyalahgunakan API proxy untuk memblokir pembaruan Firefox.

Add-on (bernama Bypass dan Bypass XM) menggunakan API untuk mencegat dan mengarahkan permintaan web untuk memblokir pengguna dari mengunduh pembaruan, memperbarui konten yang dikonfigurasi dari jarak jauh, dan mengakses daftar blokir yang diperbarui.

“Dimulai dari Firefox 91.1, Firefox sekarang menyertakan perubahan untuk kembali ke koneksi langsung ketika Firefox membuat permintaan penting (seperti untuk pembaruan) melalui konfigurasi proxy yang gagal.

“Memastikan permintaan ini diselesaikan dengan sukses membantu kami memberikan pembaruan dan perlindungan penting terbaru kepada pengguna kami.”

Untuk memblokir add-on berbahaya serupa untuk menyalahgunakan API yang sama, Mozilla telah menambahkan add-on sistem (tersembunyi, tidak mungkin dinonaktifkan, dan dapat diperbarui tanpa henti) yang disebut Proxy Failover.

Add-on baru ini mencegah upaya untuk mengganggu mekanisme pembaruan di versi Firefox saat ini dan yang lebih lama.

Microsoft Defender adalah satu-satunya solusi anti-malware yang mendeteksi add-on sebagai berbahaya, menandainya sebagai BrowserModifier:JS/BypassPaywall.A.

Jika Anda tidak menjalankan Firefox 93 dan belum menonaktifkan pembaruan browser, Anda mungkin terpengaruh oleh masalah ini. Untuk memastikan, coba perbarui Firefox ke versi terbaru karena versi terbaru sudah di-bundle dengan blocklist yang diperbarui yang dirancang untuk menonaktifkan add-on berbahaya ini secara otomatis.

Selengkapnya: Bleeping Computer

Firefox 90 menambahkan pemblokiran pelacak yang ditingkatkan ke penjelajahan pribadi

by

Mozilla telah memperkenalkan SmartBlock 2.0, versi berikutnya dari teknologi pemblokiran pelacakan lintas situs yang cerdas, dengan merilis Firefox 90.

Mekanisme SmartBlock, diperkenalkan dengan Firefox 87 pada bulan Maret, berfungsi untuk memastikan bahwa fitur Perlindungan Pelacakan dan Mode Ketat tidak akan merusak situs web saat memblokir skrip pelacakan.

Perlakuan yang sama berlaku untuk semua situs tempat Anda ingin masuk dengan akun Facebook Anda: semua skrip yang digunakan oleh Facebook untuk pelacakan diblokir secara otomatis, tetapi skrip login akan diizinkan untuk memuat sehingga proses masuk tetap berfungsi.

Dimulai dengan versi Firefox ini (90), pengguna dapat mengelola pengecualian untuk penegakan mode Khusus HTTPS dengan membuka about:preferences#privacy.

Rilis Firefox hari ini juga menambahkan dukungan untuk pembaruan otomatis latar belakang saat browser web tidak berjalan.

Rilis ini juga mencakup perubahan dan peningkatan berikut:

  • Firefox untuk Windows sekarang menawarkan halaman baru tentang: pihak ketiga untuk membantu mengidentifikasi masalah kompatibilitas yang disebabkan oleh aplikasi pihak ketiga
  • Cetak ke PDF sekarang menghasilkan hyperlink yang berfungsi
  • Item menu “Open Image in New Tab” sekarang membuka gambar dan media di tab latar belakang secara default.
  • Sebagian besar pengguna tanpa WebRender yang dipercepat perangkat keras sekarang akan menggunakan perangkat lunak WebRender.
  • Peningkatan kinerja perangkat lunak WebRender
  • Dukungan FTP telah dihapus

Sumber: Bleeping Computer