Pembaruan keamanan terbaru setiap empat minggu dari Firefox keluar, membawa browser alternatif populer ke versi 107.0, atau Rilis Dukungan yang Diperpanjang (ESR) 102.5 jika Anda memilih untuk tidak mendapatkan rilis fitur baru setiap bulan.
(Seperti yang telah kami jelaskan sebelumnya, nomor versi ESR memberi tahu Anda set fitur mana yang Anda miliki, ditambah berapa kali pembaruan keamanan telah dilakukan sejak saat itu, yang dapat Anda reocncile bulan ini dengan memperhatikan bahwa 102+5 = 107.)
Untungnya, kali ini tidak ada tambalan zero-day – semuanya kerentanan pada daftar perbaikan diungkapkan secara bertanggung jawab oleh peneliti eksternal, atau ditemukan oleh tim dan alat pencari bug Mozilla sendiri.
Keterikatan font
Tingkat keparahan tertinggi adalah High, yang berlaku untuk tujuh bug yang berbeda, empat di antaranya adalah kesalahan pengelolaan memori yang dapat menyebabkan crash program, termasuk CVE-2022-45407, yang dapat dieksploitasi penyerang dengan memuat file font.
Sebagian besar bug yang berkaitan dengan penggunaan file font disebabkan oleh fakta bahwa file font adalah struktur data biner yang kompleks, dan ada banyak format file berbeda yang diharapkan didukung oleh produk.
Ini berarti bahwa kerentanan terkait font biasanya melibatkan pengumpanan file font yang sengaja di-booby-trap ke dalam browser sehingga salah saat mencoba memprosesnya.
Tetapi bug ini berbeda, karena penyerang dapat menggunakan file font yang sah dan dibentuk dengan benar untuk memicu kerusakan.
Bug dapat dipicu bukan oleh konten tetapi oleh waktu: ketika dua atau lebih font dimuat pada saat yang sama oleh utas eksekusi latar belakang yang terpisah, browser dapat mencampur font yang sedang diprosesnya, berpotensi menempatkan potongan data X dari font A ke dalam ruang yang dialokasikan untuk potongan data Y dari font B dan dengan demikian merusak memori.
Mozilla menggambarkan ini sebagai “kecelakaan yang berpotensi dapat dieksploitasi”, meskipun tidak ada saran bahwa siapa pun, apalagi penyerang, telah menemukan cara untuk membangun eksploit semacam itu.
Layar penuh dianggap berbahaya
Bug yang paling menarik, setidaknya menurut kami, adalah CVE-2022-45404, dijelaskan secara singkat sebagai a "melewati pemberitahuan layar penuh".
Jika Anda bertanya-tanya mengapa bug semacam ini membenarkan tingkat keparahan High, itu karena memberikan kontrol atas setiap piksel di layar ke jendela browser yang diisi dan dikontrol oleh HTML, CSS, dan JavaScript yang tidak tepercaya…
…akan sangat berguna untuk setiap operator situs web berbahaya di luar sana.
Kami telah menulis sebelumnya tentang apa yang disebut Browser-dalam-Browser, atau BitB, serangan, di mana penjahat dunia maya membuat popup browser yang cocok dengan tampilan dan nuansa jendela sistem operasi, sehingga memberikan cara yang dapat dipercaya untuk mengelabui Anda agar memercayai sesuatu seperti permintaan kata sandi dengan meneruskannya sebagai intervensi keamanan oleh sistem diri:
Salah satu cara untuk menemukan trik BitB adalah dengan mencoba menyeret munculan yang tidak Anda yakini keluar dari jendela peramban itu sendiri.
Jika popup tetap terkoreksi di dalam browser, sehingga Anda tidak dapat memindahkannya ke tempat tersendiri di layar, maka itu jelas hanya bagian dari halaman web yang Anda lihat, bukan popup asli yang dibuat oleh sistem. diri.
Tetapi jika halaman web konten eksternal dapat mengambil alih seluruh tampilan secara otomatis tanpa menimbulkan peringatan sebelumnya, Anda mungkin tidak menyadarinya. tidak ada yang Anda lihat dapat dipercaya, tidak peduli seberapa realistis tampilannya.
Penjahat licik, misalnya, dapat melukis popup sistem operasi palsu di dalam jendela browser palsu, sehingga Anda benar-benar dapat menyeret dialog "sistem" di mana saja di layar dan meyakinkan diri sendiri bahwa itu adalah real deal.
Atau para penjahat bisa dengan sengaja menampilkan background gambar terbaru (salah satunya Seperti yang kau lihat? gambar) dipilih oleh Windows untuk layar login, sehingga memberikan ukuran keakraban visual, dan dengan demikian menipu Anda untuk berpikir bahwa Anda telah mengunci layar secara tidak sengaja dan perlu mengautentikasi ulang untuk masuk kembali.
Kami sengaja memetakan yang tidak terpakai tetapi mudah ditemukan PrtSc kunci di laptop Linux kami untuk mengunci layar secara instan, mengartikannya kembali sebagai bergunaLindungi Layar tombol bukannya Print Screen. Ini berarti kita dapat mengunci komputer dengan andal dan cepat dengan ketukan ibu jari setiap kali kita berjalan atau berbalik, tidak peduli seberapa singkatnya. Kami tidak terlalu sering menekannya secara tidak sengaja, tetapi itu terjadi dari waktu ke waktu.
Apa yang harus dilakukan?
Periksa apakah Anda up to date, yang merupakan masalah sederhana di laptop atau komputer desktop: Bantuan > Tentang Firefox (Atau Menu Apple > Tentang Kami) akan melakukan triknya, memunculkan dialog yang memberi tahu Anda apakah Anda saat ini atau tidak, dan menawarkan untuk mendapatkan versi terbaru jika ada versi baru yang belum Anda unduh.
Di perangkat seluler, periksa aplikasi untuk pasar perangkat lunak yang Anda gunakan (mis Google Play di Android dan Apple App Store di iOS) untuk pembaruan.
(Di Linux dan BSD, Anda mungkin memiliki build Firefox yang disediakan oleh distro Anda; jika demikian, hubungi pengelola distro Anda untuk versi terbaru.)
Ingat, meskipun Anda telah mengaktifkan pembaruan otomatis dan biasanya bekerja dengan andal, tetap ada baiknya memeriksa, mengingat hanya perlu beberapa detik untuk memastikan tidak ada yang salah dan membuat Anda tidak terlindungi.
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- Firefox
- firewall
- Kaspersky
- malware
- mcafe
- Mozilla
- Keamanan Telanjang
- BerikutnyaBLOC
- tambalan
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- kerentanan
- website security
- zephyrnet.dll
