|
Mozilla 本周宣布发布 Firefox 111,它修补了十几个漏洞,包括潜在的严重问题。 在 13 个CVE中,有 7 个被指定为“高”严重性等级。其中三个只影响 Firefox for Android,它们可以让黑客隐藏全屏通知——这可能导致用户混淆或欺骗攻击——并在没有提示的情况下打开第三方应用程序。 使用最新的 Firefox 更新修补的其他高严重性缺陷可能导致任意代码执行和信息泄露。 
网络安全公司 Sophos分析了补丁并强调了两个漏洞:CVE-2023-28161 和 CVE-2023-28163。Sophos 在一篇博客文章中说: CVE-2023-28161:授予本地文件的一次性权限扩展到同一选项卡中加载的其他本地文件。有了这个错误,如果你打开一个本地文件(比如下载的 HTML 内容)想要访问你的网络摄像头,那么你之后打开的任何其他本地文件都会在不询问你的情况下神奇地继承该访问权限。正如 Mozilla 指出的那样,如果您正在查看下载目录中的项目集合,这可能会导致麻烦——您看到的访问权限警告将取决于您打开文件的顺序。 CVE-2023-28163: Windows 另存为对话框解决了环境变量问题。正如我们喜欢说的,这是对您的输入进行消毒的另一个强烈提醒。在 Windows 命令中,一些字符序列被特殊处理,例如 %USERNAME%,它被转换为当前登录用户的名称,或 %PUBLIC%,它表示一个共享目录,通常在 C:\Users 中。一个偷偷摸摸的网站可能会以此为诱饵让您看到并批准下载一个看起来无害但位于您意想不到的目录中的文件名(您以后可能不会意识到它已经结束了)。
加拿大和美国的网络安全机构已将最新的 Firefox 补丁通知用户,敦促他们阅读建议并应用必要的更新。 Firefox 漏洞不像影响 Chrome 的漏洞那样成为威胁行为者的目标,但用户不应忽视潜在风险。CISA 已知的已利用漏洞目录列出了过去十年发现的 10 个 Firefox 漏洞。 此外,Mozilla 本周宣布,它正在考虑让Firefox Relay电子邮件和电话号码屏蔽工具直接在 Firefox 中可用。 >>>等级保护<<< 网络安全等级保护实施指南培训PPT
网络安全等级保护安全物理环境测评培训PPT
网络安全等级保护:等级保护测评过程要求PPT 网络安全等级保护:安全管理中心测评PPT
网络安全等级保护:安全管理制度测评PPT
网络安全等级保护:定级指南与定级工作PPT
网络安全等级保护:云计算安全扩展测评PPT
网络安全等级保护:工业控制安全扩展测评PPT
网络安全等级保护:移动互联安全扩展测评PPT 网络安全等级保护:浅谈物理位置选择测评项 信息安全服务与信息系统生命周期的对应关系 数据治理和数据安全 数据安全风险评估清单 成功执行数据安全风险评估的3个步骤 美国关键信息基础设施数据泄露的成本 备份:网络和数据安全的最后一道防线 数据安全:数据安全能力成熟度模型 数据安全知识:什么是数据保护以及数据保护为何重要? 信息安全技术:健康医疗数据安全指南思维导图 金融数据安全:数据安全分级指南思维导图 金融数据安全:数据生命周期安全规范思维导图
>>>供应链安全<<< 美国政府为客户发布软件供应链安全指南
OpenSSF 采用微软内置的供应链安全框架
供应链安全指南:了解组织为何应关注供应链网络安全
供应链安全指南:确定组织中的关键参与者和评估风险
供应链安全指南:了解关心的内容并确定其优先级 供应链安全指南:为方法创建关键组件 供应链安全指南:将方法整合到现有供应商合同中 供应链安全指南:将方法应用于新的供应商关系 思维导图:ICT供应链安全风险管理指南思维导图
>>>其他<<< 网络安全十大安全漏洞 网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图 网络安全等级保护:应急响应计划规范思维导图 安全从组织内部人员开始 VMware 发布9.8分高危漏洞补丁 影响2022 年网络安全的五个故事 2023年的4大网络风险以及如何应对 网络安全知识:物流业的网络安全 美国白宫发布国家网络安全战略 开源代码带来的 10 大安全和运营风险 不能放松警惕的勒索软件攻击
|
