Firefoxs siste sikkerhetsoppdatering én gang hver fjerde uke er ute, og bringer den populære alternative nettleseren til versjon 107.0, eller Extended Support Release (ESR) 102.5 hvis du foretrekker å ikke få nye funksjonsutgivelser hver måned.
(Som vi har forklart før, forteller ESR-versjonsnummeret deg hvilket funksjonssett du har, pluss antall ganger det har hatt sikkerhetsoppdateringer siden da, som du kan avstemme denne måneden ved å legge merke til at 102+5 = 107.)
Heldigvis er det ingen null-dagers patcher denne gangen – alle sårbarheter på fikselisten ble enten ansvarlig avslørt av eksterne forskere, eller funnet av Mozillas eget insektjaktteam og verktøy.
Skriftforviklinger
Det høyeste alvorlighetsnivået er Høy, som gjelder syv forskjellige feil, hvorav fire er feilhåndteringsfeil i minnet som kan føre til programkrasj, inkludert CVE-2022-45407, som en angriper kan utnytte ved å laste inn en fontfil.
De fleste feilene knyttet til bruk av fontfil er forårsaket av det faktum at skriftfiler er komplekse binære datastrukturer, og det er mange forskjellige filformater som produktene forventes å støtte.
Dette betyr at font-relaterte sårbarheter vanligvis innebærer å mate en bevisst booby-fanget fontfil inn i nettleseren slik at det går galt å prøve å behandle den.
Men denne feilen er annerledes, fordi en angriper kan bruke en legitim, riktig utformet fontfil for å utløse et krasj.
Feilen kan ikke utløses av innhold, men av timing: når to eller flere fonter lastes inn samtidig av separate bakgrunnstråder for utførelse, kan nettleseren blande sammen skriftene den behandler, og potensielt sette databit X fra font A inn i plass tildelt for dataklump Y fra font B og ødelegger dermed minnet.
Mozilla beskriver dette som en "potensielt utnyttbar krasj", selv om det ikke er noe som tyder på at noen, enn si en angriper, ennå har funnet ut hvordan man bygger en slik utnyttelse.
Fullskjerm anses som skadelig
Den mest interessante feilen, i hvert fall etter vår mening, er CVE-2022-45404, beskrevet kortfattet enkelt som en "omgå fullskjermvarsling".
Hvis du lurer på hvorfor en feil av denne typen vil rettferdiggjøre et alvorlighetsnivå på Høy, det er fordi å gi kontroll over hver piksel på skjermen til et nettleservindu som er fylt og kontrollert av uklarert HTML, CSS og JavaScript...
...ville være overraskende nyttig for alle forræderske nettstedoperatører der ute.
Vi har tidligere skrevet om såkalte Nettleser-i-nettleseren, eller BitB, angrep, der nettkriminelle oppretter en nettleser-popup som matcher utseendet og følelsen til et operativsystemvindu, og dermed gir en troverdig måte å lure deg til å stole på noe som en passordforespørsel ved å utgi det som en sikkerhetsintervensjon fra systemet seg selv:
En måte å oppdage BitB-triks på er å prøve å dra en popup du ikke er sikker på ut av nettleserens eget vindu.
Hvis popup-vinduet forblir korralt inne i nettleseren, slik at du ikke kan flytte det til et eget sted på skjermen, så er det åpenbart bare en del av nettsiden du ser på, i stedet for en ekte popup generert av systemet seg selv.
Men hvis en nettside med eksternt innhold kan ta over hele skjermen automatisk uten å fremprovosere en advarsel på forhånd, kan det hende du ikke er klar over at ingenting du ser kan stole på, uansett hvor realistisk det ser ut.
Sneke skurker, for eksempel, kunne male en falsk operativsystem-popup inne i et falskt nettleservindu, slik at du faktisk kunne dra "system"-dialogen uansett hvor du er på skjermen og overbevise deg selv om at det var den virkelige avtalen.
Eller skurkene kunne bevisst vise den siste billedbakgrunnen (en av disse Liker du hva du ser? bilder) valgt av Windows for påloggingsskjermen, og gir dermed et mål på visuell kjennskap, og derved lurer deg til å tro at du utilsiktet hadde låst skjermen og måtte autentisere deg på nytt for å komme inn igjen.
Vi har bevisst kartlagt det ellers ubrukte, men lett å finne PrtSc tasten på vår Linux-laptop for å låse skjermen umiddelbart, og omtolke den som en hendigBeskytt skjermen knappen i stedet for Print Screen. Dette betyr at vi pålitelig og raskt kan låse datamaskinen med et tommeltrykk hver gang vi går eller snur oss bort, uansett hvor kort den er. Vi trykker ikke på det utilsiktet veldig ofte, men det skjer fra tid til annen.
Hva gjør jeg?
Sjekk at du er oppdatert, noe som er en enkel sak på en bærbar eller stasjonær datamaskin: Hjelp > Om Firefox (eller Apple-menyen > Om oss) vil gjøre susen, dukker opp en dialogboks som forteller deg om du er aktuell eller ikke, og tilbyr å få den nyeste versjonen hvis det er en ny du ikke har lastet ned ennå.
På mobile enheter, sjekk med appen for programvaremarkedsplassen du bruker (f.eks. Google Play på Android og Apple App Store på iOS) for oppdateringer.
(På Linux og BSD-ene kan du ha en Firefox-build som leveres av distroen din; i så fall, sjekk med distro-vedlikeholderen din for den nyeste versjonen.)
Husk, selv om du har automatisk oppdatering slått på og det vanligvis fungerer pålitelig, er det verdt å sjekke uansett, gitt at det bare tar noen sekunder å forsikre seg om at ingenting gikk galt og etterlot deg ubeskyttet tross alt.
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- Firefox
- brannmur
- Kaspersky
- malware
- Mcafee
- Mozilla
- Naken sikkerhet
- NexBLOC
- patch
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- VPN
- sårbarhet
- nettside sikkerhet
- zephyrnet
![S3 Ep102.5: «ProxyNotShell»-utvekslingsfeil – en ekspert snakker [lyd + tekst] PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/pnc-1200-360x188.png "S3 Ep102.5: \"ProxyNotShell\" Exchange-feil – en ekspert snakker [lyd + tekst]")
