فايرفوكس يصلح عيبًا مزيفًا بملء الشاشة - احصل على التحديث الآن!

تم إصدار آخر تحديث أمني لفايرفوكس مرة واحدة كل أربعة أسابيع ، مما أدى إلى إصدار المتصفح البديل الشهير 107.0، أو إصدار الدعم الممتد (ESR) 102.5 إذا كنت تفضل عدم الحصول على إصدارات الميزات الجديدة كل شهر.

(كما أوضحنا من قبل ، يخبرك رقم إصدار ESR بمجموعة الميزات التي لديك ، بالإضافة إلى عدد المرات التي حصلت فيها على تحديثات أمنية منذ ذلك الحين ، والتي يمكنك إعادة تسجيلها هذا الشهر من خلال ملاحظة أن 102 + 5 = 107.)

لحسن الحظ ، لا توجد بقع يوم الصفر هذه المرة - كل نقاط الضعف في قائمة الإصلاح تم الكشف عنها بشكل مسؤول من قبل باحثين خارجيين ، أو تم العثور عليها بواسطة أدوات وأدوات البحث عن الأخطاء في Mozilla.

تشابك الخط

أعلى مستوى خطورة هو مرتفع، والذي ينطبق على سبعة أخطاء مختلفة ، أربعة منها عبارة عن عيوب في إدارة الذاكرة والتي قد تؤدي إلى تعطل البرنامج ، بما في ذلك CVE-2022-45407، والتي يمكن للمهاجم استغلالها عن طريق تحميل ملف خط.

تحدث معظم الأخطاء المتعلقة باستخدام ملف الخط بسبب حقيقة أن ملفات الخطوط عبارة عن هياكل بيانات ثنائية معقدة ، وهناك العديد من تنسيقات الملفات المختلفة التي من المتوقع أن تدعمها المنتجات.

هذا يعني أن الثغرات الأمنية المتعلقة بالخط عادة ما تتضمن تغذية ملف خط مفخخ عمدًا في المتصفح بحيث يحدث خطأ أثناء محاولة معالجته.

لكن هذا الخطأ مختلف ، لأن المهاجم يمكن أن يستخدم ملف خط شرعي تم تشكيله بشكل صحيح لإطلاق العطل.

لا يمكن تشغيل الخطأ عن طريق المحتوى ولكن بالتوقيت: عند تحميل خطين أو أكثر في نفس الوقت عن طريق سلاسل تنفيذ خلفية منفصلة ، قد يخلط المتصفح بين الخطوط التي يعالجها ، مما قد يؤدي إلى وضع جزء البيانات X من الخط A في المساحة المخصصة لقطعة البيانات Y من الخط B وبالتالي إتلاف الذاكرة.

تصف Mozilla هذا بأنه ملف "حادث يمكن استغلاله"، على الرغم من عدم وجود ما يشير إلى أن أي شخص ، ناهيك عن المهاجم ، قد اكتشف حتى الآن كيفية بناء مثل هذه الثغرة.

يعتبر ملء الشاشة ضارًا

الخطأ الأكثر إثارة للاهتمام ، على الأقل في رأينا ، هو CVE-2022-45404، تم وصفه باختصار بأنه ملف "تجاوز الإخطار بملء الشاشة".

إذا كنت تتساءل لماذا يبرر خطأ من هذا النوع مستوى خطورة مرتفع، لأنه يمنح التحكم في كل بكسل على الشاشة لنافذة متصفح يتم ملؤها والتحكم فيها بواسطة HTML و CSS وجافا سكريبت غير موثوق بها ...

... سيكون مفيدًا بشكل مدهش لأي مشغلي مواقع الويب الغادرة.

لقد كتبنا من قبل عن ما يسمى متصفح في المتصفح، أو BitB ، الهجمات ، حيث ينشئ المجرمون الإلكترونيون نافذة منبثقة للمتصفح تتوافق مع شكل وشكل نافذة نظام التشغيل ، وبالتالي توفر طريقة معقولة لخداعك للثقة بشيء مثل مطالبة كلمة المرور عن طريق تمريرها كتدخل أمني من قبل النظام بحد ذاتها:

تتمثل إحدى طرق اكتشاف حيل BitB في محاولة سحب نافذة منبثقة لست متأكدًا منها خارج نافذة المتصفح.

إذا ظلت النافذة المنبثقة محتجزة داخل المتصفح ، لذلك لا يمكنك نقلها إلى مكان خاص بها على الشاشة ، فمن الواضح أنها مجرد جزء من صفحة الويب التي تشاهدها ، بدلاً من نافذة منبثقة حقيقية تم إنشاؤها بواسطة النظام بحد ذاتها.

ولكن إذا تمكنت صفحة ويب ذات محتوى خارجي من السيطرة على الشاشة بالكامل تلقائيًا دون إثارة تحذير مسبقًا ، فقد لا تدرك ذلك جيدًا لا شيء تراه يمكن الوثوق به، بغض النظر عن مدى واقعية المظهر.

يمكن للمحتالين المخادعين ، على سبيل المثال ، رسم نافذة منبثقة لنظام تشغيل مزيفة داخل نافذة متصفح مزيفة ، بحيث يمكنك بالفعل سحب مربع حوار "النظام" على الشاشة وإقناع نفسك بأنها كانت الصفقة الحقيقية.

أو يمكن للمحتالين عرض أحدث الخلفيات التصويرية عمدًا (أحد هؤلاء مثل ما ترى؟ images) التي اختارها Windows لشاشة تسجيل الدخول ، مما يوفر مقياسًا للإلمام البصري ، وبالتالي يخدعك في التفكير في أنك قد أغلقت الشاشة عن غير قصد وتحتاج إلى إعادة المصادقة للعودة مرة أخرى.

لقد قمنا عمدًا بتعيين ما لم يتم استخدامه بخلاف ذلك ولكن يسهل العثور عليه PrtSc على الكمبيوتر المحمول بنظام Linux لقفل الشاشة على الفور ، وإعادة تفسيرها على أنها سهلة الاستخدامحماية الشاشة زر intead طباعة الشاشة. هذا يعني أنه يمكننا قفل الكمبيوتر بشكل موثوق وسريع بنقرة الإبهام في كل مرة نسير فيها أو نبتعد عنها ، بغض النظر عن مدى اختصارها. نحن لا نضغط عليها عن غير قصد في كثير من الأحيان ، لكنها تحدث من وقت لآخر.

ماذا ستفعلين.. إذًا؟

تأكد من أنك محدث ، وهو أمر بسيط على جهاز كمبيوتر محمول أو كمبيوتر مكتبي: المساعدة > حول فايرفوكس (أو التفاح القائمة > من نحن) سيفي بالغرض ، ويظهر مربع حوار يخبرك ما إذا كنت حاليًا أم لا ، ويعرض الحصول على أحدث إصدار إذا كان هناك إصدار جديد لم تقم بتنزيله بعد.

على الأجهزة المحمولة ، تحقق من التطبيق لمعرفة سوق البرامج الذي تستخدمه (على سبيل المثال ، Google Play على Android و المتجر أبل على iOS) للتحديثات.

(في Linux و BSD ، قد يكون لديك إصدار Firefox الذي توفره التوزيعة الخاصة بك ؛ إذا كان الأمر كذلك ، تحقق مع مشرف التوزيعة للحصول على أحدث إصدار.)

تذكر ، حتى إذا كان التحديث التلقائي قيد التشغيل وعادة ما يعمل بشكل موثوق ، فإنه يستحق التحقق على أي حال ، نظرًا لأن الأمر لا يستغرق سوى بضع ثوانٍ للتأكد من عدم حدوث أي خطأ وتركك غير محمي بعد كل شيء.

---