Firefoxs seneste sikkerhedsopdatering én gang hver fjerde uge er ude, hvilket bringer den populære alternative browser til version 107.0eller Extended Support Release (ESR) 102.5 hvis du foretrækker ikke at få nye funktionsudgivelser hver måned.
(Som vi har forklaret før, fortæller ESR-versionsnummeret dig, hvilket funktionssæt du har, plus det antal gange, det har haft sikkerhedsopdateringer siden da, som du kan afstemme denne måned ved at bemærke, at 102+5 = 107.)
Heldigvis er der ingen zero-day patches denne gang – alle sårbarheder på fixlisten blev enten ansvarligt afsløret af eksterne forskere eller fundet af Mozillas eget bugjagthold og værktøjer.
Fontsammenfiltring
Det højeste sværhedsgrad er Høj, som gælder for syv forskellige fejl, hvoraf fire er hukommelsesfejl, der kan føre til et programnedbrud, bl.a. CVE-2022-45407, som en angriber kunne udnytte ved at indlæse en skrifttypefil.
De fleste fejl relateret til brugen af skrifttyper er forårsaget af, at skrifttypefiler er komplekse binære datastrukturer, og der er mange forskellige filformater, som produkter forventes at understøtte.
Det betyder, at skrifttype-relaterede sårbarheder normalt involverer indføring af en bevidst booby-fanget skrifttypefil i browseren, så det går galt at forsøge at behandle den.
Men denne fejl er anderledes, fordi en angriber kan bruge en legitim, korrekt udformet skrifttypefil til at udløse et nedbrud.
Fejlen kan ikke udløses af indhold, men af timing: når to eller flere skrifttyper indlæses på samme tid af separate baggrundstråde for udførelse, kan browseren blande de skrifttyper, den behandler, og potentielt sætte dataklump X fra skrifttype A ind i plads tildelt til dataklump Y fra skrifttype B og derved ødelægger hukommelsen.
Mozilla beskriver dette som en "potentielt udnytteligt nedbrud", selvom der ikke er noget, der tyder på, at nogen, endsige en angriber, endnu har fundet ud af, hvordan man bygger sådan en udnyttelse.
Fuldskærm anses for at være skadelig
Den mest interessante fejl, i hvert fald efter vores mening, er CVE-2022-45404, kort beskrevet som en "omgå fuldskærmsmeddelelse".
Hvis du undrer dig over, hvorfor en fejl af denne slags ville retfærdiggøre et alvorlighedsniveau på Høj, det skyldes, at man giver kontrol over hver pixel på skærmen til et browservindue, der er udfyldt og kontrolleret af HTML, CSS og JavaScript, der ikke er tillid til...
... ville være overraskende praktisk for alle forræderiske webstedsoperatører derude.
Vi har før skrevet om såkaldte Browser-i-browseren, eller BitB, angreb, hvor cyberkriminelle opretter en browser-pop-up, der matcher udseendet og fornemmelsen af et operativsystemvindue, og dermed giver en troværdig måde at narre dig til at stole på noget som en adgangskodeprompt ved at udgive det som en sikkerhedsintervention fra systemet sig selv:
En måde at få øje på BitB-tricks på er at prøve at trække en popup, du ikke er sikker på, ud af browserens eget vindue.
Hvis pop op-vinduet forbliver indkapslet inde i browseren, så du ikke kan flytte det til et sted for sig selv på skærmen, så er det åbenbart kun en del af den webside, du kigger på, snarere end en ægte pop-up genereret af systemet sig selv.
Men hvis en webside med eksternt indhold automatisk kan overtage hele displayet uden at fremprovokere en advarsel på forhånd, kan du meget vel ikke indse, at intet du ser kan stole på, uanset hvor realistisk det ser ud.
Luskede skurke, for eksempel, kunne male en falsk operativsystem-popup inde i et falsk browservindue, så du faktisk kunne trække "system"-dialogen hvor som helst på skærmen og overbevise dig selv om, at det var den rigtige vare.
Eller skurkene kunne med vilje vise den seneste billedbaggrund (en af dem Ligesom hvad du ser? billeder) valgt af Windows til login-skærmen, hvilket giver en vis visuel kendskab og derved narre dig til at tro, at du utilsigtet havde låst skærmen og skulle genautentificere for at komme ind igen.
Vi har bevidst kortlagt det ellers ubrugte, men let at finde PrtSc tasten på vores Linux-laptop for at låse skærmen øjeblikkeligt, og genfortolke den som en handyBeskyt skærm knap i stedet for Print Screen. Det betyder, at vi pålideligt og hurtigt kan låse computeren med et tryk på tommelfingeren, hver gang vi går eller vender os væk, uanset hvor kort den er. Vi trykker ikke utilsigtet ret tit, men det sker fra tid til anden.
Hvad skal jeg gøre?
Tjek, at du er opdateret, hvilket er en simpel sag på en bærbar eller stationær computer: Hjælp > Om Firefox (eller Apple-menuen > Om) vil gøre tricket, dukker en dialog op, der fortæller dig, om du er aktuel eller ej, og tilbyder at få den nyeste version, hvis der er en ny, du ikke har downloadet endnu.
På mobile enheder skal du tjekke med appen for den softwaremarkedsplads, du bruger (f Google Play på Android og Apple App Store på iOS) for opdateringer.
(På Linux og BSD'erne har du muligvis en Firefox-build, der leveres af din distro; hvis det er tilfældet, spørg din distro-vedligeholder for den seneste version.)
Husk, at selvom du har slået automatisk opdatering til, og det normalt fungerer pålideligt, er det alligevel værd at tjekke, da det kun tager et par sekunder at sikre sig, at intet gik galt og efterlod dig ubeskyttet.
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- Firefox
- firewall
- Kaspersky
- malware
- Mcafee
- Mozilla
- Naked Security
- Nexbloc
- patch
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VPN
- sårbarhed
- website sikkerhed
- zephyrnet
