Firefox repareert nepfout op volledig scherm - download de update nu!

Firefox' nieuwste beveiligingsupdate die eens in de vier weken wordt uitgebracht, brengt de populaire alternatieve browser naar versie 107.0of Extended Support Release (ESR) 102.5 als u liever niet elke maand nieuwe functie-releases ontvangt.

(Zoals we eerder hebben uitgelegd, vertelt het ESR-versienummer u welke functieset u heeft, plus het aantal keren dat het sindsdien beveiligingsupdates heeft gehad, die u deze maand opnieuw kunt instellen door op te merken dat 102 + 5 = 107.)

Gelukkig zijn er deze keer geen zero-day-patches – alle kwetsbaarheden op de fixlijst werden ofwel op verantwoorde wijze onthuld door externe onderzoekers, of werden gevonden door Mozilla's eigen bug-jachtteam en -tools.

Lettertype verstrengeling

Het hoogste ernstniveau is Hoge, die van toepassing is op zeven verschillende bugs, waarvan er vier geheugenfouten zijn die kunnen leiden tot een programmacrash, waaronder CVE-2022-45407, die een aanvaller kan misbruiken door een lettertypebestand te laden.

De meeste bugs met betrekking tot het gebruik van lettertypebestanden worden veroorzaakt door het feit dat lettertypebestanden complexe binaire gegevensstructuren zijn en dat er veel verschillende bestandsindelingen zijn die producten naar verwachting ondersteunen.

Dit betekent dat font-gerelateerde kwetsbaarheden meestal het invoeren van een opzettelijk booby-trapped font-bestand in de browser inhouden, zodat het fout gaat bij het verwerken ervan.

Maar deze bug is anders, omdat een aanvaller een legitiem, correct samengesteld lettertypebestand kan gebruiken om een ​​crash te veroorzaken.

De bug kan niet worden veroorzaakt door inhoud, maar door timing: wanneer twee of meer lettertypen tegelijkertijd worden geladen door afzonderlijke uitvoeringsthreads op de achtergrond, kan de browser de lettertypen die worden verwerkt door elkaar halen, waardoor gegevensblok X van lettertype A mogelijk in de ruimte toegewezen voor datablok Y van lettertype B en daardoor geheugenbeschadiging.

Mozilla beschrijft dit als een "potentieel exploiteerbare crash", hoewel er geen suggestie is dat iemand, laat staan ​​een aanvaller, al heeft bedacht hoe een dergelijke exploit kan worden gebouwd.

Volledig scherm als schadelijk beschouwd

De meest interessante bug, althans naar onze mening, is CVE-2022-45404, kort en bondig beschreven als een "melding op volledig scherm omzeilen".

Als je je afvraagt ​​waarom een ​​dergelijke bug een ernstniveau van Hoge, is het omdat controle over elke pixel op het scherm wordt gegeven aan een browservenster dat wordt gevuld en bestuurd door niet-vertrouwde HTML, CSS en JavaScript...

… zou verrassend handig zijn voor alle verraderlijke website-exploitanten die er zijn.

We hebben eerder geschreven over zogenaamde Browser-in-de-Browser, of BitB-aanvallen, waarbij cybercriminelen een browserpop-up maken die overeenkomt met de look en feel van een venster van een besturingssysteem, waardoor een geloofwaardige manier wordt geboden om u te misleiden om zoiets als een wachtwoordprompt te vertrouwen door het door te geven als een beveiligingsinterventie door het systeem zelf:

Een manier om BitB-trucs te herkennen, is door een pop-up waarvan u niet zeker bent, uit het browservenster te slepen.

Als de pop-up binnen de browser blijft staan, zodat je hem niet naar een eigen plek op het scherm kunt verplaatsen, dan is hij duidelijk slechts een deel van de webpagina die je bekijkt, in plaats van een echte pop-up die door het systeem is gegenereerd. zelf.

Maar als een webpagina met externe inhoud automatisch het hele scherm kan overnemen zonder vooraf een waarschuwing uit te lokken, realiseert u zich dat misschien niet niets wat je ziet is te vertrouwen, hoe realistisch het er ook uitziet.

Stiekeme oplichters kunnen bijvoorbeeld een nep-pop-up van het besturingssysteem in een nep-browservenster schilderen, zodat je inderdaad het "systeem"-dialoogvenster overal op het scherm kunt slepen en jezelf ervan kunt overtuigen dat het echt is.

Of de boeven konden opzettelijk de nieuwste picturale achtergrond weergeven (een van die Vind je het leuk wat je ziet? afbeeldingen) gekozen door Windows voor het inlogscherm, waardoor een zekere mate van visuele vertrouwdheid wordt geboden, en u daardoor laat denken dat u per ongeluk het scherm had vergrendeld en opnieuw moest verifiëren om weer binnen te komen.

We hebben met opzet het anders ongebruikte maar gemakkelijk te vinden in kaart gebracht PrtSc -toets op onze Linux-laptop om het scherm onmiddellijk te vergrendelen, waardoor het opnieuw wordt geïnterpreteerd als een handigBescherm het scherm knop in plaats van Print Screen. Dit betekent dat we de computer betrouwbaar en snel kunnen vergrendelen met een duimtik elke keer dat we lopen of wegdraaien, hoe kort ook. We drukken er niet vaak onbedoeld op, maar het gebeurt wel eens.

Wat te doen?

Controleer of u up-to-date bent, wat eenvoudig is op een laptop of desktopcomputer: Help > Over Firefox (of Apple-menu > Over) zal het lukken, een dialoogvenster laten verschijnen dat je vertelt of je actueel bent of niet, en aanbieden om de nieuwste versie te krijgen als er een nieuwe is die je nog niet hebt gedownload.

Controleer op mobiele apparaten met de app voor de softwaremarktplaats die u gebruikt (bijv Google Play op Android en de Apple App Store op iOS) voor updates.

(Op Linux en de BSD's heeft u mogelijk een Firefox-build die door uw distro wordt geleverd; als dit het geval is, neemt u contact op met uw distro-onderhouder voor de nieuwste versie.)

Onthoud dat zelfs als automatische updates zijn ingeschakeld en het meestal betrouwbaar werkt, het toch de moeite waard is om het te controleren, aangezien het maar een paar seconden duurt om er zeker van te zijn dat er niets mis is gegaan en je toch onbeschermd bent.

---