Das neueste alle vier Wochen erscheinende Sicherheitsupdate von Firefox ist da und bringt den beliebten alternativen Browser auf Version 107.0, oder Extended Support Release (ESR) 102.5 wenn Sie es vorziehen, nicht jeden Monat neue Feature-Releases zu erhalten.
(Wie wir bereits erklärt haben, sagt Ihnen die ESR-Versionsnummer, welche Funktionen Sie haben, plus die Anzahl der Sicherheitsupdates seitdem, die Sie diesen Monat abgleichen können, indem Sie feststellen, dass 102 + 5 = 107.)
Glücklicherweise gibt es diesmal keine Zero-Day-Patches – alle Sicherheitslücken auf der Fix-Liste wurden entweder verantwortungsbewusst von externen Forschern offengelegt oder von Mozillas eigenem Bug-Hunting-Team und Tools gefunden.
Schriftverschränkung
Der höchste Schweregrad ist High, die sich auf sieben verschiedene Fehler bezieht, von denen vier Fehler in der Speicherverwaltung sind, die zu einem Programmabsturz führen können, darunter CVE-2022-45407, die ein Angreifer ausnutzen könnte, indem er eine Schriftartdatei lädt.
Die meisten Fehler im Zusammenhang mit der Verwendung von Schriftartdateien werden durch die Tatsache verursacht, dass Schriftartdateien komplexe binäre Datenstrukturen sind und es viele verschiedene Dateiformate gibt, die von den Produkten unterstützt werden sollen.
Dies bedeutet, dass Schwachstellen im Zusammenhang mit Schriftarten normalerweise darin bestehen, eine absichtlich mit Sprengfallen versehene Schriftartdatei in den Browser einzuspeisen, damit dieser beim Versuch, sie zu verarbeiten, schief geht.
Dieser Fehler ist jedoch anders, da ein Angreifer eine legitime, korrekt formatierte Schriftartdatei verwenden könnte, um einen Absturz auszulösen.
Der Fehler kann nicht durch den Inhalt, sondern durch das Timing ausgelöst werden: Wenn zwei oder mehr Schriftarten gleichzeitig durch separate Ausführungsthreads im Hintergrund geladen werden, kann der Browser die von ihm verarbeiteten Schriftarten verwechseln und möglicherweise Datenblock X von Schriftart A in die Speicherplatz für Datenblock Y von Schriftart B zugewiesen und dadurch Speicher beschädigt wird.
Mozilla beschreibt dies als eine „potenziell ausnutzbarer Absturz“, obwohl es keinen Hinweis darauf gibt, dass irgendjemand, geschweige denn ein Angreifer, bisher herausgefunden hat, wie man einen solchen Exploit erstellt.
Vollbild als schädlich angesehen
Der interessanteste Fehler, zumindest unserer Meinung nach, ist CVE-2022-45404, lapidar einfach als a beschrieben „Vollbild-Benachrichtigung umgehen“.
Wenn Sie sich fragen, warum ein Fehler dieser Art einen Schweregrad von High, weil die Kontrolle über jedes Pixel auf dem Bildschirm einem Browserfenster übertragen wird, das von nicht vertrauenswürdigem HTML, CSS und JavaScript gefüllt und gesteuert wird …
…wäre überraschend praktisch für alle heimtückischen Website-Betreiber da draußen.
Wir haben zuvor über sogenannte geschrieben Browser im Browser, oder BitB, Angriffe, bei denen Cyberkriminelle ein Browser-Popup erstellen, das dem Aussehen und Verhalten eines Betriebssystemfensters entspricht, und so eine glaubwürdige Möglichkeit bieten, Sie dazu zu bringen, so etwas wie einer Passwortabfrage zu vertrauen, indem sie es als Sicherheitseingriff des Systems ausgeben selbst:
Eine Möglichkeit, BitB-Tricks zu erkennen, besteht darin, zu versuchen, ein Popup, bei dem Sie sich nicht sicher sind, aus dem eigenen Fenster des Browsers zu ziehen.
Wenn das Popup im Browser eingeschlossen bleibt, sodass Sie es nicht an eine eigene Stelle auf dem Bildschirm verschieben können, ist es offensichtlich nur ein Teil der Webseite, die Sie gerade betrachten, und kein echtes Popup, das vom System generiert wird selbst.
Aber wenn eine Webseite mit fremden Inhalten automatisch die gesamte Anzeige übernehmen kann, ohne vorher eine Warnung zu provozieren, ist Ihnen das möglicherweise nicht bewusst Nichts, was Sie sehen, kann vertrauenswürdig sein, egal wie realistisch es aussieht.
Hinterhältige Gauner könnten beispielsweise ein gefälschtes Betriebssystem-Popup in ein gefälschtes Browserfenster malen, sodass Sie den „System“-Dialog tatsächlich irgendwo auf den Bildschirm ziehen und sich davon überzeugen könnten, dass es sich um das echte handelt.
Oder die Gauner könnten absichtlich den neuesten Bildhintergrund anzeigen (einen von denen Gefällt Ihnen was Sie sehen? Bilder), die von Windows für den Anmeldebildschirm ausgewählt wurden, wodurch ein gewisses Maß an visueller Vertrautheit bereitgestellt wird, und Sie dadurch zu der Annahme verleiten, dass Sie den Bildschirm versehentlich gesperrt hätten und sich erneut authentifizieren müssten, um wieder hineinzukommen.
Wir haben bewusst das ansonsten ungenutzte, aber leicht zu findende kartiert PrtSc Taste auf unserem Linux-Laptop, um den Bildschirm sofort zu sperren und ihn als Handy neu zu interpretierenBildschirm schützen Knopf statt Print Screen. So können wir den Computer bei jedem noch so kurzen Gehen oder Abwenden zuverlässig und schnell mit einem Daumentipp sperren. Wir drücken es nicht sehr oft unabsichtlich, aber es passiert von Zeit zu Zeit.
Was ist zu tun?
Überprüfen Sie, ob Sie auf dem neuesten Stand sind, was auf einem Laptop oder Desktop-Computer ganz einfach ist: Hilfe > Über Firefox (oder Apple-Menü > Über uns) wird den Trick machen, einen Dialog öffnen, der Ihnen sagt, ob Sie aktuell sind oder nicht, und anbieten, die neueste Version zu bekommen, wenn es eine neue Version gibt, die Sie noch nicht heruntergeladen haben.
Überprüfen Sie auf Mobilgeräten mit der App den von Ihnen verwendeten Software-Marktplatz (z Google Play auf Android und die Apple App Store unter iOS) für Updates.
(Unter Linux und den BSDs haben Sie möglicherweise einen Firefox-Build, der von Ihrer Distribution bereitgestellt wird; wenn ja, erkundigen Sie sich bei Ihrem Distributionsbetreuer nach der neuesten Version.)
Denken Sie daran, auch wenn Sie die automatische Aktualisierung aktiviert haben und sie normalerweise zuverlässig funktioniert, lohnt es sich trotzdem, sie zu überprüfen, da es nur wenige Sekunden dauert, um sicherzustellen, dass nichts schief gelaufen ist und Sie doch ungeschützt sind.
- Blockchain
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firefox
- Firewall
- Kaspersky
- Malware
- McAfee
- Mozilla
- Nackte Sicherheit
- NexBLOC
- Patch
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- VPN
- Verwundbarkeit
- Website-Sicherheit
- Zephyrnet
![S3 Ep102.5: „ProxyNotShell“ Exchange Bugs – ein Experte spricht [Audio + Text] PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/pnc-1200-360x188.png "S3 Ep102.5: „ProxyNotShell“ Exchange Bugs – ein Experte spricht [Audio + Text]")
