L'ultimo aggiornamento di sicurezza di Firefox una volta ogni quattro settimane è uscito, portando il popolare browser alternativo alla versione 107.0o Extended Support Release (ESR) 102.5 se preferisci non ricevere nuove funzionalità ogni mese.
(Come abbiamo spiegato in precedenza, il numero di versione ESR ti dice quale set di funzionalità hai, oltre al numero di volte in cui ha avuto aggiornamenti di sicurezza da allora, che puoi riconciliare questo mese notando che 102 + 5 = 107.)
Fortunatamente, questa volta non ci sono patch zero-day, tutte le vulnerabilità nell'elenco delle correzioni sono stati responsabilmente divulgati da ricercatori esterni o trovati dal team e dagli strumenti di caccia ai bug di Mozilla.
Aggrovigliamento dei caratteri
Il livello di gravità più alto è Alta, che si applica a sette diversi bug, quattro dei quali sono difetti di cattiva gestione della memoria che potrebbero portare a un arresto anomalo del programma, tra cui CVE-2022-45407, che un utente malintenzionato potrebbe sfruttare caricando un file di font.
La maggior parte dei bug relativi all'utilizzo dei file di caratteri sono causati dal fatto che i file di caratteri sono strutture di dati binari complesse e che esistono molti formati di file diversi che i prodotti dovrebbero supportare.
Ciò significa che le vulnerabilità relative ai caratteri di solito implicano l'inserimento di un file di caratteri deliberatamente esplosivo nel browser in modo che vada storto nel tentativo di elaborarlo.
Ma questo bug è diverso, perché un utente malintenzionato potrebbe utilizzare un file di font legittimo e formato correttamente per attivare un arresto anomalo.
Il bug può essere attivato non dal contenuto ma dalla tempistica: quando due o più font vengono caricati contemporaneamente da thread di esecuzione in background separati, il browser potrebbe confondere i font che sta elaborando, inserendo potenzialmente il blocco di dati X dal font A nel spazio allocato per il blocco di dati Y dal carattere B e quindi danneggiando la memoria.
Mozilla lo descrive come a "crash potenzialmente sfruttabile", sebbene non vi sia alcun suggerimento che qualcuno, per non parlare di un utente malintenzionato, abbia ancora capito come costruire un tale exploit.
Schermo intero considerato dannoso
Il bug più interessante, almeno a nostro avviso, è CVE-2022-45404, descritto succintamente semplicemente come a "esclusione delle notifiche a schermo intero".
Se ti stai chiedendo perché un bug di questo tipo giustificherebbe un livello di gravità di Alta, è perché si dà il controllo su ogni pixel dello schermo a una finestra del browser popolata e controllata da HTML, CSS e JavaScript non attendibili...
…sarebbe sorprendentemente utile per qualsiasi infido operatore di siti web là fuori.
Abbiamo già scritto sui cosiddetti Browser nel browser, o BitB, attacchi in cui i criminali informatici creano un popup del browser che corrisponde all'aspetto di una finestra del sistema operativo, fornendo così un modo credibile per indurti a fidarti di qualcosa come una richiesta di password facendola passare per un intervento di sicurezza da parte del sistema si:
Un modo per individuare i trucchi di BitB è provare a trascinare un popup di cui non sei sicuro fuori dalla finestra del browser.
Se il popup rimane racchiuso all'interno del browser, quindi non puoi spostarlo in un punto a sé stante sullo schermo, allora è ovviamente solo una parte della pagina web che stai guardando, piuttosto che un vero e proprio popup generato dal sistema si.
Ma se una pagina Web di contenuto esterno può occupare automaticamente l'intero display senza provocare un avviso in anticipo, potresti benissimo non rendertene conto nulla di ciò che vedi può essere considerato attendibile, non importa quanto sembri realistico.
I truffatori subdoli, ad esempio, potrebbero dipingere un finto popup del sistema operativo all'interno di una finta finestra del browser, in modo che tu possa effettivamente trascinare la finestra di dialogo "sistema" ovunque sullo schermo e convincerti che fosse il vero affare.
Oppure i truffatori potrebbero mostrare deliberatamente l'ultimo sfondo pittorico (uno di quelli Piace quello che vedi? images) scelto da Windows per la schermata di accesso, fornendo così una misura di familiarità visiva e quindi inducendoti a pensare di aver bloccato inavvertitamente lo schermo e di aver bisogno di riautenticarti per rientrare.
Abbiamo deliberatamente mappato gli elementi altrimenti inutilizzati ma facili da trovare PrtSc key sul nostro laptop Linux per bloccare istantaneamente lo schermo, reinterpretandolo come un praticoProteggi lo schermo pulsante invece di Print screen. Ciò significa che possiamo bloccare in modo affidabile e rapido il computer con un tocco del pollice ogni volta che ci allontaniamo o ci allontaniamo, non importa quanto brevemente. Non lo premiamo involontariamente molto spesso, ma succede di tanto in tanto.
Cosa fare?
Verifica di essere aggiornato, operazione semplice su un laptop o un computer desktop: Aiuto > Informazioni su Firefox (o Menu apple > Chi siamo) farà il trucco, aprendo una finestra di dialogo che ti dice se sei aggiornato o meno e offrendoti di ottenere l'ultima versione se ce n'è una nuova che non hai ancora scaricato.
Sui dispositivi mobili, verifica con l'app il marketplace software che utilizzi (ad es Google Play su Android e il Apple App Store su iOS) per gli aggiornamenti.
(Su Linux e BSD, potresti avere una build di Firefox fornita dalla tua distribuzione; in tal caso, controlla con il tuo manutentore della distribuzione per l'ultima versione.)
Ricorda, anche se hai attivato l'aggiornamento automatico e di solito funziona in modo affidabile, vale comunque la pena controllare, dato che bastano pochi secondi per assicurarsi che nulla sia andato storto e ti abbia lasciato senza protezione.
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- Firefox
- firewall
- Kaspersky
- il malware
- Mcafee
- Mozilla
- Sicurezza nuda
- NextBLOC
- Toppa
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- vulnerabilità
- sicurezza del sito Web
- zefiro
![S3 Ep102.5: Bug di scambio “ProxyNotShell” – parla un esperto [Audio + Testo] PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/pnc-1200-360x188.png "S3 Ep102.5: Bug di scambio “ProxyNotShell” – parla un esperto [Audio + Testo]")
