فایرفاکس نقص تقلبی تمام صفحه را برطرف می کند - همین حالا به روز رسانی را دریافت کنید!

آخرین به روز رسانی امنیتی فایرفاکس که هر چهار هفته یک بار منتشر می شود، مرورگر جایگزین محبوب را به نسخه می آورد. 107.0، یا نسخه پشتیبانی گسترده (ESR) 102.5 اگر ترجیح می دهید هر ماه ویژگی های جدیدی را دریافت نکنید.

(همانطور که قبلاً توضیح دادیم، شماره نسخه ESR به شما می گوید که کدام مجموعه ویژگی را دارید، به علاوه تعداد دفعاتی که از آن زمان به روز رسانی های امنیتی داشته است، که می توانید در این ماه با توجه به 102+5 = 107 آن را مجدداً لغو کنید.)

خوشبختانه، این بار هیچ وصله روز صفر وجود ندارد - همه آسیب پذیری های موجود در لیست اصلاحی یا به طور مسئولانه توسط محققان خارجی فاش شدند، یا توسط تیم و ابزار شکار حشرات خود موزیلا پیدا شدند.

درهم تنیدگی فونت

بالاترین سطح شدت است زیاد، که برای هفت باگ مختلف اعمال می شود، که چهار مورد از آنها نقص مدیریت نادرست حافظه است که می تواند منجر به خرابی برنامه شود، از جمله CVE-2022-45407، که یک مهاجم می تواند با بارگذاری یک فایل فونت از آن سوء استفاده کند.

اکثر اشکالات مربوط به استفاده از فایل فونت به دلیل این واقعیت ایجاد می شود که فایل های فونت ساختارهای داده باینری پیچیده ای هستند و فرمت های فایل های مختلفی وجود دارد که انتظار می رود محصولات از آنها پشتیبانی کنند.

این بدان معناست که آسیب‌پذیری‌های مرتبط با فونت معمولاً شامل وارد کردن یک فایل فونت عمداً به دام افتاده در مرورگر می‌شود تا تلاش برای پردازش آن اشتباه شود.

اما این اشکال متفاوت است، زیرا یک مهاجم می‌تواند از یک فایل فونت قانونی و درست تشکیل شده برای ایجاد خرابی استفاده کند.

این اشکال را می‌توان نه با محتوا، بلکه با زمان‌بندی ایجاد کرد: زمانی که دو یا چند فونت به‌طور هم‌زمان توسط رشته‌های پس‌زمینه مجزا بارگیری می‌شوند، مرورگر ممکن است فونت‌هایی را که پردازش می‌کند مخلوط کرده و به طور بالقوه تکه داده‌ای X از فونت A را در آن قرار دهد. فضای اختصاص داده شده برای تکه داده Y از فونت B و در نتیجه تخریب حافظه.

موزیلا این را به عنوان یک "سقوط بالقوه قابل بهره برداری"، اگرچه هیچ پیشنهادی وجود ندارد که کسی، چه رسد به یک مهاجم، هنوز متوجه نشده است که چگونه چنین اکسپلویتی را بسازد.

تمام صفحه مضر در نظر گرفته می شود

جالب ترین اشکال، حداقل به نظر ما، این است CVE-2022-45404، به طور خلاصه به عنوان یک "دور زدن اعلان تمام صفحه".

اگر تعجب می کنید که چرا یک اشکال از این نوع سطح شدت را توجیه می کند زیاد، به این دلیل است که کنترل هر پیکسل روی صفحه را به پنجره مرورگری که توسط HTML، CSS و جاوا اسکریپت غیرقابل اعتماد پر شده و کنترل می شود، می دهد.

... برای هر اپراتور وب سایت خیانتکار به طرز شگفت آوری مفید خواهد بود.

ما قبلا در مورد به اصطلاح نوشته ایم مرورگر در مرورگرحملات، یا BitB، که در آن مجرمان سایبری یک پنجره بازشو مرورگر ایجاد می‌کنند که با ظاهر و احساس یک پنجره سیستم‌عامل مطابقت دارد، بنابراین یک راه قابل باور برای فریب دادن شما به چیزی مانند درخواست رمز عبور با ارائه آن به عنوان یک مداخله امنیتی توسط سیستم ارائه می‌کند. خودش:

یکی از راه‌های تشخیص ترفندهای BitB این است که پنجره‌ای را که از آن مطمئن نیستید به بیرون از پنجره مرورگر بکشید.

اگر پنجره بازشو در داخل مرورگر به هم خورده باشد، بنابراین نمی‌توانید آن را به نقطه‌ای روی صفحه منتقل کنید، پس واضح است که این پنجره فقط بخشی از صفحه وب است که به آن نگاه می‌کنید، نه یک پنجره بازشو واقعی که توسط سیستم ایجاد شده است. خود

اما اگر یک صفحه وب با محتوای خارجی بتواند به طور خودکار کل صفحه نمایش را بدون ایجاد هشدار قبلی در اختیار بگیرد، ممکن است متوجه نشوید که به چیزی که می بینید قابل اعتماد نیست، مهم نیست که چقدر واقع بینانه به نظر می رسد.

برای مثال، کلاهبرداران یواشکی می‌توانند یک پنجره بازشو سیستم عامل جعلی را در داخل یک پنجره مرورگر جعلی نقاشی کنند، به طوری که شما واقعاً می‌توانید گفتگوی «سیستم» را در هر جایی که روی صفحه است بکشید و خود را متقاعد کنید که معامله واقعی است.

یا کلاهبرداران می توانند عمداً آخرین پس زمینه تصویری را نمایش دهند (یکی از آن ها چیزی که میبینی را دوست داری؟ تصاویر) که توسط ویندوز برای صفحه ورود انتخاب شده است، بنابراین معیاری از آشنایی بصری را ارائه می دهد و در نتیجه شما را فریب می دهد تا فکر کنید به طور ناخواسته صفحه را قفل کرده اید و برای بازگشت مجدد نیاز به احراز هویت مجدد دارید.

ما به طور عمدی نقشه استفاده نشده اما آسان برای یافتن را ترسیم کرده ایم PrtSc لپ تاپ لینوکس ما را برای قفل کردن فورا صفحه کلید، و آن را به عنوان یک ابزار مفید تفسیر کنیدمحافظت از صفحه نمایش دکمه به جای صفحه نمایش چاپ. این بدان معناست که ما می‌توانیم هر بار که راه می‌رویم یا دور می‌شویم، بدون توجه به مدت کوتاهی، به‌طور قابل‌اطمینان و سریع رایانه را با یک ضربه شست قفل کنیم. ما اغلب آن را ناخواسته فشار نمی دهیم، اما هر از گاهی این اتفاق می افتد.

چه کاری انجام دهید؟

بررسی کنید که به‌روز هستید، که در لپ‌تاپ یا رایانه رومیزی یک موضوع ساده است: کمک > درباره Firefox (و یا منوی سیب > درباره ما) این ترفند را انجام می دهد، یک گفتگو ظاهر می شود که به شما می گوید آیا فعلی هستید یا نه، و پیشنهاد می کند که اگر نسخه جدیدی وجود دارد که هنوز دانلود نکرده اید، آخرین نسخه را دریافت کنید.

در دستگاه‌های تلفن همراه، بازار نرم‌افزاری را که استفاده می‌کنید (مثلاً گوگل بازی در اندروید و فروشگاه App اپل در iOS) برای به روز رسانی.

(در لینوکس و BSD ها، ممکن است یک بیلد فایرفاکس داشته باشید که توسط توزیع شما ارائه شده است؛ اگر چنین است، برای آخرین نسخه با نگهدارنده توزیع خود تماس بگیرید.)

به یاد داشته باشید، حتی اگر به‌روزرسانی خودکار را روشن کرده باشید و معمولاً به طور قابل اعتماد کار می‌کند، به هر حال ارزش بررسی را دارد، با توجه به اینکه فقط چند ثانیه طول می‌کشد تا مطمئن شوید مشکلی پیش نیامده و شما را بدون محافظت رها کرده است.

---