Firefoxi uusim kord nelja nädala tagant ilmuv turvavärskendus on välja antud, mis toob populaarse alternatiivse brauseri versiooni 107.0või laiendatud tugiteenuste väljalase (ESR) 102.5 kui te ei soovi saada iga kuu uusi funktsioone.
(Nagu oleme varem selgitanud, näitab ESR-i versiooninumber teile, milline funktsioonide komplekt teil on, ja mitu korda on sellel pärast seda turvavärskendusi tehtud, mida saate sel kuul uuesti ühildada, kui märkate, et 102+5 = 107.)
Õnneks pole seekord ühtegi nullpäeva plaastrit – kõik haavatavused parandusloendis need avalikustati vastutustundlikult väliste uurijate poolt või leidsid need Mozilla enda veajahimeeskond ja tööriistad.
Fondi takerdumine
Kõrgeim raskusaste on Suur, mis kehtib seitsme erineva vea kohta, millest neli on mälu valesti haldamise vead, mis võivad põhjustada programmi krahhi, sealhulgas CVE-2022-45407, mida ründaja saab fondifaili laadides ära kasutada.
Enamik fondifailide kasutamisega seotud vigu on põhjustatud asjaolust, et fondifailid on keerulised binaarandmestruktuurid ja on palju erinevaid failivorminguid, mida tooted eeldatavasti toetavad.
See tähendab, et fontidega seotud haavatavused hõlmavad tavaliselt sihilikult lõksu jäänud fondifaili brauserisse söötmist, nii et see läheb selle töötlemisel valesti.
Kuid see viga on erinev, kuna ründaja võib krahhi käivitamiseks kasutada seaduslikku, õigesti vormindatud fondifaili.
Vea võib käivitada mitte sisu, vaid ajastus: kui kaks või enam fonti laaditakse korraga erinevate taustalõimede kaudu, võib brauser töödeldavaid fonte segamini ajada, pannes potentsiaalselt fondi A andmetüki X fondi B andmetüki Y jaoks eraldatud ruumi ja seeläbi mälu rikkumine.
Mozilla kirjeldab seda kui a "Potentsiaalselt ärakasutatav krahh", kuigi pole vihjet sellele, et keegi, rääkimata ründajast, oleks veel välja mõelnud, kuidas sellist ärakasutamist luua.
Täisekraani peetakse kahjulikuks
Kõige huvitavam viga, vähemalt meie arvates, on CVE-2022-45404, mida kirjeldatakse lühidalt lihtsalt kui a "täisekraani teavituste ümbersõit".
Kui te ei tea, miks selline viga õigustaks raskusastet Suur, selle põhjuseks on asjaolu, et ekraani iga piksli üle kontrolli andmine brauseriaknale, mis on asustatud ja mida juhivad ebausaldusväärsed HTML, CSS ja JavaScript...
…oleks üllatavalt mugav kõikidele reetlikele veebisaitide operaatoritele.
Oleme varem kirjutanud nn Browser-in-the-Browservõi BitB rünnakud, kus küberkurjategijad loovad brauseri hüpikakna, mis vastab operatsioonisüsteemi akna välimusele ja olemusele, pakkudes seega usutavat viisi, kuidas petta teid usaldama midagi, näiteks parooliviipa, edastades selle süsteemi turvasekkumisena. ise:
Üks võimalus BitB nippe märgata on tõmmata brauseri aknast välja hüpikaken, mille osas te pole kindel.
Kui hüpikaken jääb brauseri sees seotuks, nii et te ei saa seda ekraanil oma kohale teisaldada, on see ilmselt vaid osa vaadatavast veebilehest, mitte süsteemi loodud ehtne hüpikaken. ise.
Kuid kui välise sisuga veebileht võib kogu kuva automaatselt üle võtta ilma eelneva hoiatuseta, ei pruugi te väga hästi aru saada, et midagi, mida näete, ei saa usaldada, hoolimata sellest, kui realistlik see välja näeb.
Näiteks alatu kelmid võivad võltsitud brauseriaknasse maalida võltsitud operatsioonisüsteemi hüpikakna, nii et saate tõepoolest lohistada "süsteemi" dialoogi ekraanil ükskõik kuhu ja veenda end, et see oli tõeline tehing.
Või võivad kelmid sihilikult kuvada uusimat pilditausta (üks neist Meeldib, mida sa näed? pildid), mille Windows on sisselogimiskuva jaoks valinud, pakkudes seega visuaalset tuttavust ja meelitades teid arvama, et olete ekraani kogemata lukustanud ja sissepääsuks oli vaja uuesti autentida.
Oleme tahtlikult kaardistanud muidu kasutamata, kuid kergesti leitavad PrtSc klahvi meie Linuxi sülearvutil, et ekraan koheselt lukustada, muutes selle käepäraseksKaitse ekraani nupu asemel Print Screen. See tähendab, et saame arvuti usaldusväärselt ja kiiresti lukustada pöidlapuudutusega iga kord, kui kõnnime või ära pöörame, ükskõik kui lühikeseks ajaks. Me ei vajuta seda tahtmatult väga sageli, kuid seda juhtub aeg-ajalt.
Mida teha?
Kontrollige, kas olete kursis, mis on sülearvuti või lauaarvuti puhul lihtne. aitama > Firefoxist (Või Apple'i menüü > MEIST) teeb selle triki ära, avab dialoogi, mis ütleb teile, kas olete praegune või mitte, ja pakub uusima versiooni hankimist, kui teil on uus versioon, mida te pole veel alla laadinud.
Mobiilseadmetes kontrollige rakendusest kasutatavat tarkvaraturgu (nt Google Play Androidis ja Apple App Store iOS-is) värskenduste jaoks.
(Linuxis ja BSD-del võib teil olla Firefoxi versioon, mille pakub teie distributsioon; kui jah, küsige oma distributsiooni hooldajalt uusimat versiooni.)
Pidage meeles, et isegi kui teil on automaatne värskendamine sisse lülitatud ja see töötab tavaliselt usaldusväärselt, tasub seda igal juhul kontrollida, kuna kulub vaid mõni sekund veendumaks, et midagi ei läinud valesti ja ei jätnud teid lõpuks kaitseta.
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- Firefox
- tulemüüri
- Kaspersky
- malware
- mcafee
- Mozilla
- Alasti turvalisus
- NexBLOC
- Plaaster
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- haavatavus
- kodulehel turvalisus
- sephyrnet
