آخرین به روز رسانی امنیتی فایرفاکس که هر چهار هفته یک بار منتشر می شود، مرورگر جایگزین محبوب را به نسخه می آورد. 107.0، یا نسخه پشتیبانی گسترده (ESR) 102.5 اگر ترجیح می دهید هر ماه ویژگی های جدیدی را دریافت نکنید.
(همانطور که قبلاً توضیح دادیم، شماره نسخه ESR به شما می گوید که کدام مجموعه ویژگی را دارید، به علاوه تعداد دفعاتی که از آن زمان به روز رسانی های امنیتی داشته است، که می توانید در این ماه با توجه به 102+5 = 107 آن را مجدداً لغو کنید.)
خوشبختانه، این بار هیچ وصله روز صفر وجود ندارد - همه آسیب پذیری های موجود در لیست اصلاحی یا به طور مسئولانه توسط محققان خارجی فاش شدند، یا توسط تیم و ابزار شکار حشرات خود موزیلا پیدا شدند.
درهم تنیدگی فونت
بالاترین سطح شدت است زیاد، که برای هفت باگ مختلف اعمال می شود، که چهار مورد از آنها نقص مدیریت نادرست حافظه است که می تواند منجر به خرابی برنامه شود، از جمله CVE-2022-45407، که یک مهاجم می تواند با بارگذاری یک فایل فونت از آن سوء استفاده کند.
اکثر اشکالات مربوط به استفاده از فایل فونت به دلیل این واقعیت ایجاد می شود که فایل های فونت ساختارهای داده باینری پیچیده ای هستند و فرمت های فایل های مختلفی وجود دارد که انتظار می رود محصولات از آنها پشتیبانی کنند.
این بدان معناست که آسیبپذیریهای مرتبط با فونت معمولاً شامل وارد کردن یک فایل فونت عمداً به دام افتاده در مرورگر میشود تا تلاش برای پردازش آن اشتباه شود.
اما این اشکال متفاوت است، زیرا یک مهاجم میتواند از یک فایل فونت قانونی و درست تشکیل شده برای ایجاد خرابی استفاده کند.
این اشکال را میتوان نه با محتوا، بلکه با زمانبندی ایجاد کرد: زمانی که دو یا چند فونت بهطور همزمان توسط رشتههای پسزمینه مجزا بارگیری میشوند، مرورگر ممکن است فونتهایی را که پردازش میکند مخلوط کرده و به طور بالقوه تکه دادهای X از فونت A را در آن قرار دهد. فضای اختصاص داده شده برای تکه داده Y از فونت B و در نتیجه تخریب حافظه.
موزیلا این را به عنوان یک "سقوط بالقوه قابل بهره برداری"، اگرچه هیچ پیشنهادی وجود ندارد که کسی، چه رسد به یک مهاجم، هنوز متوجه نشده است که چگونه چنین اکسپلویتی را بسازد.
تمام صفحه مضر در نظر گرفته می شود
جالب ترین اشکال، حداقل به نظر ما، این است CVE-2022-45404، به طور خلاصه به عنوان یک "دور زدن اعلان تمام صفحه".
اگر تعجب می کنید که چرا یک اشکال از این نوع سطح شدت را توجیه می کند زیاد، به این دلیل است که کنترل هر پیکسل روی صفحه را به پنجره مرورگری که توسط HTML، CSS و جاوا اسکریپت غیرقابل اعتماد پر شده و کنترل می شود، می دهد.
... برای هر اپراتور وب سایت خیانتکار به طرز شگفت آوری مفید خواهد بود.
ما قبلا در مورد به اصطلاح نوشته ایم مرورگر در مرورگرحملات، یا BitB، که در آن مجرمان سایبری یک پنجره بازشو مرورگر ایجاد میکنند که با ظاهر و احساس یک پنجره سیستمعامل مطابقت دارد، بنابراین یک راه قابل باور برای فریب دادن شما به چیزی مانند درخواست رمز عبور با ارائه آن به عنوان یک مداخله امنیتی توسط سیستم ارائه میکند. خودش:
یکی از راههای تشخیص ترفندهای BitB این است که پنجرهای را که از آن مطمئن نیستید به بیرون از پنجره مرورگر بکشید.
اگر پنجره بازشو در داخل مرورگر به هم خورده باشد، بنابراین نمیتوانید آن را به نقطهای روی صفحه منتقل کنید، پس واضح است که این پنجره فقط بخشی از صفحه وب است که به آن نگاه میکنید، نه یک پنجره بازشو واقعی که توسط سیستم ایجاد شده است. خود
اما اگر یک صفحه وب با محتوای خارجی بتواند به طور خودکار کل صفحه نمایش را بدون ایجاد هشدار قبلی در اختیار بگیرد، ممکن است متوجه نشوید که به چیزی که می بینید قابل اعتماد نیست، مهم نیست که چقدر واقع بینانه به نظر می رسد.
برای مثال، کلاهبرداران یواشکی میتوانند یک پنجره بازشو سیستم عامل جعلی را در داخل یک پنجره مرورگر جعلی نقاشی کنند، به طوری که شما واقعاً میتوانید گفتگوی «سیستم» را در هر جایی که روی صفحه است بکشید و خود را متقاعد کنید که معامله واقعی است.
یا کلاهبرداران می توانند عمداً آخرین پس زمینه تصویری را نمایش دهند (یکی از آن ها چیزی که میبینی را دوست داری؟ تصاویر) که توسط ویندوز برای صفحه ورود انتخاب شده است، بنابراین معیاری از آشنایی بصری را ارائه می دهد و در نتیجه شما را فریب می دهد تا فکر کنید به طور ناخواسته صفحه را قفل کرده اید و برای بازگشت مجدد نیاز به احراز هویت مجدد دارید.
ما به طور عمدی نقشه استفاده نشده اما آسان برای یافتن را ترسیم کرده ایم PrtSc
لپ تاپ لینوکس ما را برای قفل کردن فورا صفحه کلید، و آن را به عنوان یک ابزار مفید تفسیر کنیدمحافظت از صفحه نمایش دکمه به جای صفحه نمایش چاپ. این بدان معناست که ما میتوانیم هر بار که راه میرویم یا دور میشویم، بدون توجه به مدت کوتاهی، بهطور قابلاطمینان و سریع رایانه را با یک ضربه شست قفل کنیم. ما اغلب آن را ناخواسته فشار نمی دهیم، اما هر از گاهی این اتفاق می افتد.
چه کاری انجام دهید؟
بررسی کنید که بهروز هستید، که در لپتاپ یا رایانه رومیزی یک موضوع ساده است: کمک > درباره Firefox (و یا منوی سیب > درباره ما) این ترفند را انجام می دهد، یک گفتگو ظاهر می شود که به شما می گوید آیا فعلی هستید یا نه، و پیشنهاد می کند که اگر نسخه جدیدی وجود دارد که هنوز دانلود نکرده اید، آخرین نسخه را دریافت کنید.
در دستگاههای تلفن همراه، بازار نرمافزاری را که استفاده میکنید (مثلاً گوگل بازی در اندروید و فروشگاه App اپل در iOS) برای به روز رسانی.
(در لینوکس و BSD ها، ممکن است یک بیلد فایرفاکس داشته باشید که توسط توزیع شما ارائه شده است؛ اگر چنین است، برای آخرین نسخه با نگهدارنده توزیع خود تماس بگیرید.)
به یاد داشته باشید، حتی اگر بهروزرسانی خودکار را روشن کرده باشید و معمولاً به طور قابل اعتماد کار میکند، به هر حال ارزش بررسی را دارد، با توجه به اینکه فقط چند ثانیه طول میکشد تا مطمئن شوید مشکلی پیش نیامده و شما را بدون محافظت رها کرده است.