Fedora 38 / Firefox 124.0.1 : hier ist der Fix

Der Firefox 124.0.1 Build mit dem Patch gegen die Javascript Lücke für Fedora 38 ist leider für PPC64 schief gelaufen und daher als „failed“ markiert, was technisch stimmt, aber eben nur für PPC64 ( PowerPC Plattform ).

Fedora 38 / Firefox 124.0.1 : hier ist der Fix

„normale“ Fedora 38 User können also nicht auf eine neue Version hoffen? Doch Ihr könnt:

Klickt mal hierhin:

https://koji.fedoraproject.org/koji/taskinfo?taskID=115309290

Ihr seht dann diese Liste mit Links:

Eine Liste mit Links

Da schnappen wir uns die beiden benötigten Pakete und updaten das direkt mit dnf. Das dies auch funktioniert, beweißt dieser Post, ich habe nämlich schon 124.0.1 für Fedora 38 😉

$ sudo dnf update https://kojipkgs.fedoraproject.org//work/tasks/9290/115309290/firefox-124.0.1-1.fc38.x86_64.rpm https://kojipkgs.fedoraproject.org//work/tasks/9290/115309290/firefox-langpacks-124.0.1-1.fc38.x86_64.rpm

Und nun habt Ihr den Fix auch auf dem PC.

Warum ist das nötig?

Ihr dürft raten.. ein defekter Build kommt natürlich nicht ins Stable, auch wenn Teile kritisch sind und funktionieren. Außerdem hängt Martin zur Zeit nicht ganz so dahinter, wie das Firefox und Fedora derzeit bräuchten. Ich habe ihm direkt angeboten, bei FF zu helfen, damit in Situationen wie diesen, schneller reagiert werden kann. Ich brauche Firefox ja schliesslich selbst jeden Tag für meine Arbeit.

Nächste kritische Sicherheitslücke in Firefox 124.0

Einmal alle auf Firefox 124.0.1 updaten..

https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/

CVE-2024-29944: Privileged JavaScript Execution via Event Handlers

Reporter Manfred Paul via Trend Micro’s Zero Day Initiative
Impact critical
Description

An attacker was able to inject an event handler into a privileged object that would allow arbitrary JavaScript execution in the parent process. Note: This vulnerability affects Desktop Firefox only, it does not affect mobile versions of Firefox.

Die Lücke ist OS unabhängig.

Fedora: Firefox 124.0 Security Update nicht gepusht

Es ist wieder passiert. Wir haben eine RCE Lücke, die von den MozillaDevs als Kritisch eingestuft wird, weil man vermutlich Code ausführen kann als Angreifer, und die Firefox Updates stecken im Fedora Buildsystem fest 🙁

Fedora: Firefox 124.0 Security Update nicht gepusht

Wiedereinmal mußte ich heute die Updates ins Stable schicken, damit Fedorauser als letzte wichtige Sicherheitsupdates bekommen. Langsam ist das nicht mehr schön.

Mein Angebot steht aber: ich helfe gerne aus und kümmere mich darum.

Für alle die jetzt noch kein Update haben, wir machen das hier:

Fedora 38:

wget https://kojipkgs.fedoraproject.org//packages/firefox/124.0/1.fc38/x86_64/firefox-langpacks-124.0-1.fc38.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/firefox/124.0/1.fc38/x86_64/firefox-124.0-1.fc38.x86_64.rpm

Fedora 39:

wget https://kojipkgs.fedoraproject.org//packages/firefox/124.0/1.fc39/x86_64/firefox-langpacks-124.0-1.fc39.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/firefox/124.0/1.fc39/x86_64/firefox-124.0-1.fc39.x86_64.rpm

Dann gemeinsam:

sudo dnf update ./firefox*rpm

Passwort eingeben und gut.