עדכון האבטחה האחרון של Firefox פעם בארבעה שבועות יצא, ומביא את הדפדפן האלטרנטיבי הפופולרי לגרסה 107.0, או Extended Support Release (ESR) 102.5 אם אתה מעדיף לא לקבל מהדורות תכונות חדשות מדי חודש.
(כפי שהסברנו בעבר, מספר גרסת ה-ESR אומר לך איזו ערכת תכונות יש לך, בנוסף למספר הפעמים שהיו לו עדכוני אבטחה מאז, אותם תוכל ליישר החודש על ידי כך שתשים לב ש-102+5 = 107.)
למרבה המזל, הפעם אין תיקונים של יום אפס - כולם נקודות תורפה ברשימת התיקונים נחשפו באחריות על ידי חוקרים חיצוניים, או שנמצאו על ידי צוות ציד באגים וכלים של מוזילה.
הסתבכות גופנים
רמת החומרה הגבוהה ביותר היא גָבוֹהַ, אשר חל על שבעה באגים שונים, ארבעה מהם הם פגמים בניהול לא נכון של זיכרון שעלולים להוביל לקריסת תוכנית, כולל CVE-2022-45407, אשר תוקף יכול לנצל על ידי טעינת קובץ גופן.
רוב הבאגים הקשורים לשימוש בקבצי גופנים נגרמים מהעובדה שקובצי גופן הם מבני נתונים בינאריים מורכבים, וישנם הרבה פורמטים שונים של קבצים שהמוצרים צפויים לתמוך בהם.
משמעות הדבר היא שפגיעויות הקשורות לגופנים כוללות בדרך כלל הזנת קובץ גופן ממולכד בכוונה לדפדפן כך שישתבש בניסיון לעבד אותו.
אבל הבאג הזה שונה, מכיוון שתוקף יכול להשתמש בקובץ גופן לגיטימי במבנה נכון כדי להפעיל קריסה.
הבאג יכול להיות מופעל לא על ידי תוכן אלא על ידי תזמון: כאשר שני גופנים או יותר נטענים בו-זמנית על ידי שרשורי רקע נפרדים של ביצוע, הדפדפן עלול לערבב את הגופנים שהוא מעבד, ועלול להכניס את נתח הנתונים X מגופן A לתוך מקום שהוקצה עבור נתח נתונים Y מגופן B ובכך משחית את הזיכרון.
מוזילה מתארת זאת כ "התרסקות שעלולה לנצל", למרות שאין הצעה שמישהו, שלא לדבר על תוקף, עדיין הבין איך לבנות ניצול כזה.
מסך מלא נחשב מזיק
הבאג המעניין ביותר, לפחות לדעתנו, הוא CVE-2022-45404, מתואר בקצרה בפשטות א "עקיפת התראות במסך מלא".
אם אתה תוהה מדוע באג מסוג זה יצדיק רמת חומרה של גָבוֹהַ, זה בגלל מתן שליטה על כל פיקסל על המסך לחלון דפדפן שמאוכלס ונשלט על ידי HTML, CSS ו-JavaScript לא מהימנים...
...יהיה שימושי באופן מפתיע לכל מפעילי אתרים בוגדניים בחוץ.
כבר כתבנו בעבר על מה שנקרא דפדפן בדפדפן, או BitB, התקפות, שבהן פושעי סייבר יוצרים חלון קופץ של דפדפן התואם את המראה והתחושה של חלון מערכת הפעלה, ובכך מספקים דרך אמינה להערים עליך לסמוך על משהו כמו בקשת סיסמה על ידי העברת זה כהתערבות אבטחה של המערכת עצמו:
אחת הדרכים לזהות טריקים של BitB היא לנסות לגרור חלון קופץ שאינך בטוח לגביו מהחלון של הדפדפן עצמו.
אם החלון הקופץ נשאר מכוסה בתוך הדפדפן, כך שאינך יכול להזיז אותו לנקודה משלו על המסך, ברור שזה רק חלק מדף האינטרנט שבו אתה מסתכל, ולא חלון קופץ אמיתי שנוצר על ידי המערכת עצמו.
אבל אם דף אינטרנט של תוכן חיצוני יכול להשתלט על כל התצוגה באופן אוטומטי מבלי לעורר אזהרה מראש, ייתכן מאוד שלא תבינו את זה לא ניתן לסמוך על שום דבר שאתה רואה, לא משנה כמה זה נראה מציאותי.
נוכלים ערמומיים, למשל, יכולים לצבוע חלון קופץ מזויף של מערכת הפעלה בתוך חלון דפדפן מזויף, כך שאכן תוכל לגרור את תיבת הדו-שיח "מערכת" בכל מקום על המסך ולשכנע את עצמך שזה הדבר האמיתי.
או שהנוכלים יכולים להציג בכוונה את הרקע הציורי האחרון (אחד כזה כמו מה שאתה רואה? תמונות) שנבחרו על ידי Windows למסך ההתחברות, ובכך מספקות מידה של היכרות ויזואלית, ובכך להטעות אותך לחשוב שנעלת בטעות את המסך ועליך לבצע אימות מחדש כדי להיכנס חזרה.
מיפינו בכוונה את מה שלא נעשה בו שימוש, אך קל למצוא PrtSc מקש במחשב הנייד הלינוקס שלנו כדי לנעול את המסך באופן מיידי, ולפרש אותו מחדש כשימושיהגן על מסך הלחצן הוא להדפיס את המסך. המשמעות היא שנוכל לנעול את המחשב בצורה מהימנה ומהירה בלחיצת אגודל בכל פעם שאנחנו הולכים או מסתובבים, לא משנה כמה זמן קצר. אנחנו לא לוחצים על זה בלי כוונה לעתים קרובות מאוד, אבל זה קורה מדי פעם.
מה לעשות?
בדוק שאתה מעודכן, וזה עניין פשוט במחשב נייד או שולחני: עֶזרָה > אודות Firefox (אוֹ תפריט תפוח > אודות ) יעשה את העבודה, יפתח תיבת דו-שיח שאומרת לך אם אתה מעודכן או לא, ויציע לקבל את הגרסה העדכנית ביותר אם יש גרסה חדשה שעדיין לא הורדת.
במכשירים ניידים, בדוק עם האפליקציה את שוק התוכנה שבו אתה משתמש (למשל Play Google באנדרואיד וב- Apple App Store ב-iOS) לקבלת עדכונים.
(ב-Linux וב-BSD, ייתכן שיש לך גירסה של Firefox שמסופקת על ידי ההפצה שלך; אם כן, בדוק עם מנהל ההפצה שלך לגבי הגרסה העדכנית ביותר).
זכרו, גם אם הפעלתם את העדכון האוטומטי ובדרך כלל זה עובד בצורה אמינה, כדאי לבדוק בכל מקרה, בהתחשב בעובדה שלוקח שניות בודדות לוודא ששום דבר לא השתבש והותיר אתכם ללא הגנה בכל זאת.
![S3 Ep102.5: באגים החלפת "ProxyNotShell" - מומחה מדבר [אודיו + טקסט] PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.](https://platoblockchain.com/wp-content/uploads/2022/10/pnc-1200-360x188.png "S3 Ep102.5: באגים החלפת \"ProxyNotShell\" - מומחה מדבר [אודיו + טקסט]")
