Firefox의 최신 XNUMX주에 한 번 보안 업데이트가 출시되어 인기 있는 대체 브라우저를 버전으로 가져왔습니다. 107.0, 또는 확장 지원 릴리스(ESR) 102.5 매달 새로운 기능 릴리스를 받고 싶지 않은 경우.
(이전에 설명했듯이 ESR 버전 번호는 보유하고 있는 기능 세트와 그 이후로 보안 업데이트를 받은 횟수를 알려줍니다. 102+5 = 107임을 확인하여 이번 달에 다시 업데이트할 수 있습니다.)
다행히 이번에는 제로데이 패치가 없습니다. 수정 목록의 취약점 외부 연구원이 책임감 있게 공개했거나 Mozilla 자체 버그 헌팅 팀 및 도구에서 발견했습니다.
글꼴 얽힘
가장 높은 심각도 수준은 높은, 이는 XNUMX개의 서로 다른 버그에 적용되며, 그 중 XNUMX개는 프로그램 충돌로 이어질 수 있는 잘못된 메모리 관리 결함입니다. CVE-2022-45407, 공격자가 글꼴 파일을 로드하여 악용할 수 있습니다.
글꼴 파일 사용과 관련된 대부분의 버그는 글꼴 파일이 복잡한 이진 데이터 구조이고 제품이 지원할 것으로 예상되는 다양한 파일 형식이 있다는 사실 때문에 발생합니다.
즉, 글꼴 관련 취약점은 일반적으로 고의적으로 부비 트랩된 글꼴 파일을 브라우저에 공급하여 이를 처리하는 동안 잘못 처리되도록 합니다.
하지만 이 버그는 다릅니다. 공격자가 적법하고 올바른 형식의 글꼴 파일을 사용하여 충돌을 일으킬 수 있기 때문입니다.
버그는 내용이 아니라 타이밍에 의해 유발될 수 있습니다. 두 개 이상의 글꼴이 별도의 백그라운드 실행 스레드에 의해 동시에 로드되면 브라우저는 처리 중인 글꼴을 혼합하여 잠재적으로 글꼴 A의 데이터 청크 X를 글꼴 B에서 데이터 청크 Y에 할당된 공간으로 인해 메모리가 손상됩니다.
Mozilla는 이것을 다음과 같이 설명합니다. "잠재적으로 악용될 수 있는 충돌", 비록 공격자는 말할 것도 없고 누군가가 그러한 익스플로잇을 구축하는 방법을 아직 알아냈다는 암시는 없지만.
유해한 것으로 간주되는 전체 화면
적어도 우리의 의견으로는 가장 흥미로운 버그는 CVE-2022-45404, 간단하게 다음과 같이 설명합니다. "전체 화면 알림 우회".
이런 종류의 버그가 심각도 수준을 정당화하는 이유가 궁금하다면 높은, 신뢰할 수 없는 HTML, CSS 및 JavaScript에 의해 채워지고 제어되는 브라우저 창에 화면의 모든 픽셀에 대한 제어권을 부여하기 때문입니다.
… 위험한 웹 사이트 운영자에게는 놀라울 정도로 편리할 것입니다.
우리는 이전에 소위 말하는 브라우저 내 브라우저또는 BitB 공격은 사이버 범죄자가 운영 체제 창의 모양과 느낌과 일치하는 브라우저 팝업을 생성하여 시스템의 보안 개입으로 전달하여 암호 프롬프트와 같은 것을 신뢰하도록 속이는 믿을 수 있는 방법을 제공합니다. 그 자체:
BitB 트릭을 발견하는 한 가지 방법은 확실하지 않은 팝업을 브라우저 자체 창 밖으로 드래그하는 것입니다.
팝업이 브라우저 내부에 계속 표시되어 화면의 특정 위치로 이동할 수 없다면 시스템에서 생성된 진짜 팝업이 아니라 분명히 보고 있는 웹 페이지의 일부일 것입니다. 그 자체.
그러나 외부 콘텐츠의 웹 페이지가 사전 경고 없이 자동으로 전체 디스플레이를 점유할 수 있다면, 당신은 그것을 깨닫지 못할 것입니다. 보이는 것은 아무것도 믿을 수 없다, 아무리 현실적으로 보이더라도.
예를 들어 교활한 사기꾼은 가짜 브라우저 창 안에 가짜 운영 체제 팝업을 그릴 수 있으므로 실제로 화면의 "시스템" 대화 상자를 드래그하여 그것이 진짜 거래라고 확신할 수 있습니다.
아니면 사기꾼들이 의도적으로 최신 화보 배경(그 중 하나)을 보여줄 수도 있습니다. 당신이 보는 무엇을 좋아하세요? 로그인 화면에 대해 Windows에서 선택한 이미지) 시각적 친숙도를 측정하여 사용자가 실수로 화면을 잠갔고 다시 로그인하려면 재인증해야 한다고 생각하도록 속입니다.
우리는 의도적으로 사용하지 않았지만 찾기 쉬운 PrtSc Linux 노트북의 키를 사용하여 화면을 즉시 잠그고 편리한 것으로 재해석합니다.화면 보호 버튼 대신 화면 인쇄. 이것은 우리가 걸어가거나 돌아설 때마다 아무리 짧게라도 엄지손가락 탭으로 안정적이고 신속하게 컴퓨터를 잠글 수 있음을 의미합니다. 의도하지 않게 자주 누르지는 않지만 때때로 발생합니다.
무엇을해야 하는가?
노트북이나 데스크톱 컴퓨터에서 간단한 문제인 최신 상태인지 확인하세요. 도움말 > 파이어 폭스 소개 (또는 애플 메뉴 > 소개)가 트릭을 수행하여 최신 버전인지 여부를 알려주는 대화 상자를 표시하고 아직 다운로드하지 않은 새 버전이 있는 경우 최신 버전을 받을 것을 제안합니다.
모바일 장치에서 사용하는 소프트웨어 마켓플레이스에 대한 앱을 확인하십시오(예: 구글 플레이 Android 및 애플 앱 스토어 iOS에서) 업데이트를 위해.
(Linux 및 BSD에서는 배포판에서 제공하는 Firefox 빌드가 있을 수 있습니다. 그렇다면 배포판 관리자에게 최신 버전을 확인하십시오.)
자동 업데이트가 켜져 있고 일반적으로 안정적으로 작동하더라도 문제가 발생하지 않고 결국 보호되지 않은 상태로 유지되는 데 몇 초 밖에 걸리지 않는다는 점을 감안할 때 어쨌든 확인할 가치가 있습니다.
