Firefox corrige la falla de falsificación de pantalla completa: ¡obtenga la actualización ahora!

La última actualización de seguridad de Firefox, una vez cada cuatro semanas, está disponible, trayendo el popular navegador alternativo a la versión 107.0, o versión de soporte extendido (ESR) 102.5 si prefiere no recibir nuevas funciones todos los meses.

(Como explicamos antes, el número de versión de ESR le indica qué conjunto de funciones tiene, además de la cantidad de veces que ha tenido actualizaciones de seguridad desde entonces, que puede reconciliar este mes si observa que 102+5 = 107).

Afortunadamente, esta vez no hay parches de día cero: todos los vulnerabilidades en la lista de arreglos fueron divulgados responsablemente por investigadores externos o encontrados por el propio equipo y herramientas de búsqueda de errores de Mozilla.

enredo de fuentes

El nivel de gravedad más alto es Alta, que se aplica a siete errores diferentes, cuatro de los cuales son fallas de mala administración de la memoria que podrían provocar un bloqueo del programa, incluido CVE-2022-45407, que un atacante podría explotar cargando un archivo de fuente.

La mayoría de los errores relacionados con el uso de archivos de fuentes se deben al hecho de que los archivos de fuentes son estructuras de datos binarias complejas, y hay muchos formatos de archivo diferentes que se espera que admitan los productos.

Esto significa que las vulnerabilidades relacionadas con las fuentes generalmente implican alimentar un archivo de fuente deliberadamente trampa en el navegador para que falle al intentar procesarlo.

Pero este error es diferente, porque un atacante podría usar un archivo de fuente legítimo y correctamente formado para desencadenar un bloqueo.

El error puede desencadenarse no por el contenido sino por el tiempo: cuando se cargan dos o más fuentes al mismo tiempo mediante subprocesos de ejecución de fondo separados, el navegador puede mezclar las fuentes que está procesando, lo que podría colocar el fragmento de datos X de la fuente A en el espacio asignado para el fragmento de datos Y de la fuente B y, por lo tanto, corrompe la memoria.

Mozilla describe esto como un "accidente potencialmente explotable", aunque no hay ninguna sugerencia de que nadie, y mucho menos un atacante, haya descubierto aún cómo construir tal exploit.

Pantalla completa considerada dañina

El error más interesante, al menos en nuestra opinión, es CVE-2022-45404, descrito sucintamente simplemente como un "omisión de notificación de pantalla completa".

Si se pregunta por qué un error de este tipo justificaría un nivel de gravedad de Alta, se debe a que otorga el control de cada píxel de la pantalla a una ventana del navegador que está poblada y controlada por HTML, CSS y JavaScript que no son de confianza...

…sería sorprendentemente útil para cualquier operador de sitio web traicionero.

Hemos escrito antes sobre los llamados Navegador en el navegador, o BitB, en los que los ciberdelincuentes crean una ventana emergente en el navegador que se asemeja a la apariencia de una ventana del sistema operativo, lo que brinda una forma creíble de engañarlo para que confíe en algo como una solicitud de contraseña haciéndola pasar por una intervención de seguridad del sistema. sí mismo:

Una forma de detectar los trucos de BitB es intentar arrastrar una ventana emergente de la que no está seguro fuera de la ventana del navegador.

Si la ventana emergente permanece acorralada dentro del navegador, por lo que no puede moverla a un lugar propio en la pantalla, entonces obviamente es solo parte de la página web que está viendo, en lugar de una ventana emergente genuina generada por el sistema. sí mismo.

Pero si una página web de contenido externo puede ocupar toda la pantalla automáticamente sin provocar una advertencia de antemano, es muy posible que no se dé cuenta de que no se puede confiar en nada de lo que ves, no importa lo realista que parezca.

Los ladrones furtivos, por ejemplo, podrían pintar una ventana emergente falsa del sistema operativo dentro de una ventana falsa del navegador, de modo que usted pudiera arrastrar el cuadro de diálogo "sistema" a cualquier lugar de la pantalla y convencerse de que era real.

O los ladrones podrían mostrar deliberadamente el último fondo pictórico (uno de esos ¿Te gusta lo que ves? imágenes) elegidas por Windows para la pantalla de inicio de sesión, lo que proporciona una medida de familiaridad visual y, por lo tanto, lo engaña para que piense que inadvertidamente bloqueó la pantalla y necesitaba volver a autenticarse para volver a ingresar.

Hemos mapeado deliberadamente lo que de otro modo no se usaría pero sería fácil de encontrar PrtSc clave en nuestra computadora portátil Linux para bloquear la pantalla al instante, reinterpretándolo como un prácticoProteger la pantalla botón en lugar de Imprimir pantalla. Esto significa que podemos bloquear la computadora de manera confiable y rápida con un toque con el pulgar cada vez que caminamos o nos alejamos, sin importar cuán brevemente. No lo presionamos sin querer muy a menudo, pero sucede de vez en cuando.

¿Qué hacer?

Verifique que esté actualizado, lo cual es un asunto simple en una computadora portátil o de escritorio: Ayuda > Acerca de Firefox (o Menú de apple > Nuestra Empresa) hará el truco, aparecerá un cuadro de diálogo que le indicará si está actualizado o no, y le ofrecerá obtener la última versión si hay una nueva que aún no ha descargado.

En dispositivos móviles, verifique con la aplicación el mercado de software que utiliza (p. ej. Google Play en Android y el Apple App Store en iOS) para actualizaciones.

(En Linux y los BSD, es posible que tenga una compilación de Firefox proporcionada por su distribución; si es así, consulte con el mantenedor de su distribución para obtener la última versión).

Recuerde, incluso si tiene activada la actualización automática y generalmente funciona de manera confiable, vale la pena verificar de todos modos, dado que solo toma unos segundos asegurarse de que nada salió mal y lo dejó desprotegido después de todo.

---