Κυκλοφορεί η τελευταία ενημέρωση ασφαλείας του Firefox μία φορά κάθε τέσσερις εβδομάδες, φέρνοντας το δημοφιλές εναλλακτικό πρόγραμμα περιήγησης στην έκδοση 107.0, ή Εκτεταμένη έκδοση υποστήριξης (ESR) 102.5 εάν προτιμάτε να μην λαμβάνετε νέες εκδόσεις λειτουργιών κάθε μήνα.
(Όπως έχουμε εξηγήσει προηγουμένως, ο αριθμός έκδοσης ESR σάς λέει ποιο σύνολο χαρακτηριστικών διαθέτετε, συν τον αριθμό των φορών που έχει λάβει ενημερώσεις ασφαλείας από τότε, τις οποίες μπορείτε να ανακτήσετε αυτόν τον μήνα παρατηρώντας ότι 102+5 = 107.)
Ευτυχώς, αυτή τη φορά δεν υπάρχουν ενημερώσεις κώδικα μηδενικής ημέρας – όλα αυτά ευπάθειες στη λίστα επιδιόρθωσης είτε αποκαλύφθηκαν υπεύθυνα από εξωτερικούς ερευνητές είτε βρέθηκαν από την ομάδα και τα εργαλεία κυνηγιού σφαλμάτων της ίδιας της Mozilla.
Εμπλοκή γραμματοσειράς
Το υψηλότερο επίπεδο σοβαρότητας είναι Ψηλά, το οποίο ισχύει για επτά διαφορετικά σφάλματα, τέσσερα από τα οποία είναι ελαττώματα κακής διαχείρισης μνήμης που θα μπορούσαν να οδηγήσουν σε σφάλμα προγράμματος, συμπεριλαμβανομένων CVE-2022-45407, το οποίο ένας εισβολέας θα μπορούσε να εκμεταλλευτεί φορτώνοντας ένα αρχείο γραμματοσειράς.
Τα περισσότερα σφάλματα που σχετίζονται με τη χρήση αρχείων γραμματοσειρών προκαλούνται από το γεγονός ότι τα αρχεία γραμματοσειρών είναι πολύπλοκες δομές δυαδικών δεδομένων και υπάρχουν πολλές διαφορετικές μορφές αρχείων που αναμένεται να υποστηρίζουν τα προϊόντα.
Αυτό σημαίνει ότι οι ευπάθειες που σχετίζονται με τις γραμματοσειρές συνήθως περιλαμβάνουν την τροφοδοσία ενός αρχείου γραμματοσειράς που έχει παγιδευτεί εσκεμμένα στο πρόγραμμα περιήγησης, έτσι ώστε να πάει στραβά η προσπάθεια επεξεργασίας του.
Αλλά αυτό το σφάλμα είναι διαφορετικό, επειδή ένας εισβολέας θα μπορούσε να χρησιμοποιήσει ένα νόμιμο, σωστά διαμορφωμένο αρχείο γραμματοσειράς για να προκαλέσει μια συντριβή.
Το σφάλμα μπορεί να ενεργοποιηθεί όχι από το περιεχόμενο αλλά από το χρονοδιάγραμμα: όταν δύο ή περισσότερες γραμματοσειρές φορτώνονται ταυτόχρονα από ξεχωριστά νήματα εκτέλεσης στο φόντο, το πρόγραμμα περιήγησης μπορεί να αναμίξει τις γραμματοσειρές που επεξεργάζεται, τοποθετώντας ενδεχομένως το κομμάτι δεδομένων X από τη γραμματοσειρά Α στο χώρος που εκχωρείται για το κομμάτι δεδομένων Y από τη γραμματοσειρά Β και έτσι καταστρέφεται η μνήμη.
Η Mozilla το περιγράφει ως α «δυνητικά εκμεταλλεύσιμο συντριβή», αν και δεν υπάρχει καμία ένδειξη ότι κάποιος, πόσο μάλλον ένας επιτιθέμενος, έχει ακόμη καταλάβει πώς να δημιουργήσει ένα τέτοιο exploit.
Πλήρης οθόνη θεωρείται επιβλαβής
Το πιο ενδιαφέρον σφάλμα, τουλάχιστον κατά τη γνώμη μας, είναι CVE-2022-45404, περιγράφεται συνοπτικά απλά ως α "Πλήρης οθόνη παράκαμψη ειδοποιήσεων".
Αν αναρωτιέστε γιατί ένα σφάλμα αυτού του είδους θα δικαιολογούσε ένα επίπεδο σοβαρότητας Ψηλά, είναι επειδή δίνεται έλεγχος σε κάθε pixel στην οθόνη σε ένα παράθυρο του προγράμματος περιήγησης που συμπληρώνεται και ελέγχεται από μη αξιόπιστα HTML, CSS και JavaScript…
…θα ήταν εκπληκτικά βολικό για κάθε ύπουλο χειριστή ιστοτόπων εκεί έξω.
Έχουμε ξαναγράψει για τα λεγόμενα Browser-in-the-Browser, ή BitB, επιθέσεις, όπου οι εγκληματίες του κυβερνοχώρου δημιουργούν ένα αναδυόμενο παράθυρο του προγράμματος περιήγησης που ταιριάζει με την εμφάνιση και την αίσθηση ενός παραθύρου λειτουργικού συστήματος, παρέχοντας έτσι έναν αξιόπιστο τρόπο να σας εξαπατήσουν ώστε να εμπιστευτείτε κάτι όπως ένα μήνυμα κωδικού πρόσβασης, περνώντας το ως παρέμβαση ασφαλείας από το σύστημα εαυτό:
Ένας τρόπος για να εντοπίσετε κόλπα BitB είναι να δοκιμάσετε να σύρετε ένα αναδυόμενο παράθυρο για το οποίο δεν είστε σίγουροι από το παράθυρο του προγράμματος περιήγησης.
Εάν το αναδυόμενο παράθυρο παραμένει συρρικνωμένο μέσα στο πρόγραμμα περιήγησης, επομένως δεν μπορείτε να το μετακινήσετε σε ένα δικό του σημείο στην οθόνη, τότε είναι προφανώς μόνο μέρος της ιστοσελίδας που βλέπετε, αντί για ένα γνήσιο αναδυόμενο παράθυρο που δημιουργείται από το σύστημα εαυτό.
Αλλά εάν μια ιστοσελίδα εξωτερικού περιεχομένου μπορεί να καταλάβει ολόκληρη την οθόνη αυτόματα χωρίς να προκαλέσει προειδοποίηση εκ των προτέρων, μπορεί κάλλιστα να μην καταλάβετε ότι τίποτα από αυτά που βλέπετε δεν είναι αξιόπιστο, όσο ρεαλιστικό κι αν φαίνεται.
Οι ύπουλοι απατεώνες, για παράδειγμα, θα μπορούσαν να ζωγραφίσουν ένα ψεύτικο αναδυόμενο παράθυρο λειτουργικού συστήματος μέσα σε ένα ψεύτικο παράθυρο του προγράμματος περιήγησης, έτσι ώστε να μπορείτε να σύρετε το παράθυρο διαλόγου «σύστημα» οπουδήποτε στην οθόνη και να πείσετε τον εαυτό σας ότι ήταν η πραγματική συμφωνία.
Ή οι απατεώνες θα μπορούσαν να εμφανίσουν σκόπιμα το πιο πρόσφατο εικονογραφικό υπόβαθρο (ένα από αυτά Να σου αρέσει ό, τι βλέπεις? εικόνες) που επιλέχθηκαν από τα Windows για την οθόνη σύνδεσης, παρέχοντας έτσι ένα μέτρο οπτικής εξοικείωσης και, ως εκ τούτου, σας ξεγελούν ώστε να πιστεύετε ότι είχατε κλειδώσει κατά λάθος την οθόνη και ότι έπρεπε να πραγματοποιήσετε εκ νέου έλεγχο ταυτότητας για να επιστρέψετε.
Έχουμε χαρτογραφήσει σκόπιμα το κατά τα άλλα αχρησιμοποίητο αλλά εύκολο στην εύρεση PrtSc πληκτρολογήστε τον φορητό υπολογιστή μας Linux για να κλειδώσετε την οθόνη αμέσως, ερμηνεύοντάς την ξανά ως εύχρηστοΠροστατεύστε την οθόνη κουμπί αντί για Εκτύπωση οθόνης. Αυτό σημαίνει ότι μπορούμε να κλειδώνουμε αξιόπιστα και γρήγορα τον υπολογιστή με ένα πάτημα του αντίχειρα κάθε φορά που περπατάμε ή στρίβουμε μακριά, ανεξάρτητα από το πόσο σύντομο είναι. Δεν το πατάμε άθελά μας πολύ συχνά, αλλά συμβαίνει κατά καιρούς.
Τι να κάνω;
Ελέγξτε ότι είστε ενημερωμένοι, κάτι που είναι απλό σε φορητό ή επιτραπέζιο υπολογιστή: Βοήθεια > Σχετικά με τον Firefox (Ή Η Apple Menu > Σχετικά) θα κάνει το κόλπο, ανοίγοντας ένα παράθυρο διαλόγου που σας ενημερώνει εάν είστε ενημερωμένοι ή όχι και προσφέροντάς σας να λάβετε την πιο πρόσφατη έκδοση εάν υπάρχει μια νέα που δεν έχετε κατεβάσει ακόμα.
Σε κινητές συσκευές, επικοινωνήστε με την εφαρμογή για την αγορά λογισμικού που χρησιμοποιείτε (π.χ Το Google Play στο Android και το Apple App Store σε iOS) για ενημερώσεις.
(Στο Linux και τα BSD, ενδέχεται να έχετε μια έκδοση Firefox που παρέχεται από τη διανομή σας. Εάν ναι, επικοινωνήστε με τον συντηρητή διανομής σας για την πιο πρόσφατη έκδοση.)
Θυμηθείτε, ακόμα κι αν έχετε ενεργοποιημένη την αυτόματη ενημέρωση και συνήθως λειτουργεί αξιόπιστα, αξίζει να το ελέγξετε ούτως ή άλλως, δεδομένου ότι χρειάζονται μόνο λίγα δευτερόλεπτα για να βεβαιωθείτε ότι τίποτα δεν πήγε στραβά και τελικά δεν σας άφησε απροστάτευτους.
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- Firefox
- firewall
- Kaspersky
- malware
- Mcafee
- Mozilla
- Γυμνή ασφάλεια
- Nexbloc
- Patch
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ευπάθεια
- ιστοσελίδα της ασφάλειας
- zephyrnet
