A atualização de segurança mais recente do Firefox, uma vez a cada quatro semanas, foi lançada, trazendo o popular navegador alternativo para a versão 107.0, ou versão de suporte estendido (ESR) 102.5 se você preferir não receber lançamentos de novos recursos todos os meses.
(Como explicamos antes, o número da versão ESR informa qual conjunto de recursos você possui, além do número de atualizações de segurança desde então, que você pode reconciliar este mês observando que 102+5 = 107.)
Felizmente, não há patches de dia zero desta vez - todos os vulnerabilidades na lista de correções foram divulgados com responsabilidade por pesquisadores externos ou encontrados pela própria equipe e ferramentas de busca de bugs da Mozilla.
Emaranhamento de fonte
O nível de gravidade mais alto é Alta, que se aplica a sete bugs diferentes, quatro dos quais são falhas de gerenciamento de memória que podem levar a uma falha do programa, incluindo CVE-2022-45407, que um invasor pode explorar carregando um arquivo de fonte.
A maioria dos bugs relacionados ao uso de arquivo de fonte é causada pelo fato de que os arquivos de fonte são estruturas de dados binários complexos e há muitos formatos de arquivo diferentes que os produtos devem suportar.
Isso significa que as vulnerabilidades relacionadas à fonte geralmente envolvem a alimentação de um arquivo de fonte deliberadamente armadilhado no navegador para que ele dê errado ao tentar processá-lo.
Mas esse bug é diferente, porque um invasor pode usar um arquivo de fonte legítimo e formado corretamente para acionar uma falha.
O bug pode ser acionado não pelo conteúdo, mas pelo tempo: quando duas ou mais fontes são carregadas ao mesmo tempo por threads de execução separados em segundo plano, o navegador pode misturar as fontes que está processando, potencialmente colocando o bloco de dados X da fonte A no espaço alocado para o bloco de dados Y da fonte B e, assim, corrompendo a memória.
Mozilla descreve isso como um “falha potencialmente explorável”, embora não haja nenhuma sugestão de que alguém, muito menos um invasor, já tenha descoberto como criar tal exploração.
Tela cheia considerada prejudicial
O bug mais interessante, pelo menos em nossa opinião, é CVE-2022-45404, descrito sucintamente simplesmente como um “desvio de notificação em tela cheia”.
Se você está se perguntando por que um bug desse tipo justificaria um nível de gravidade de Alta, é porque dar controle sobre cada pixel na tela para uma janela do navegador que é preenchida e controlada por HTML, CSS e JavaScript não confiáveis…
…seria surpreendentemente útil para qualquer operador de site traiçoeiro por aí.
Já escrevemos antes sobre os chamados Navegador no navegador, ou BitB, onde os cibercriminosos criam um pop-up do navegador que corresponde à aparência de uma janela do sistema operacional, fornecendo assim uma maneira confiável de induzi-lo a confiar em algo como um prompt de senha, fazendo-o passar por uma intervenção de segurança do sistema em si:
Uma maneira de identificar os truques do BitB é tentar arrastar um pop-up sobre o qual você não tem certeza da própria janela do navegador.
Se o pop-up permanecer encurralado dentro do navegador, de modo que você não possa movê-lo para um local próprio na tela, obviamente é apenas parte da página da Web que você está visualizando, em vez de um pop-up genuíno gerado pelo sistema em si.
Mas se uma página da web de conteúdo externo pode ocupar toda a exibição automaticamente sem provocar um aviso prévio, você pode muito bem não perceber que nada que você vê pode ser confiável, não importa o quão realista pareça.
Bandidos sorrateiros, por exemplo, podem pintar um pop-up de sistema operacional falso dentro de uma janela de navegador falsa, para que você possa arrastar a caixa de diálogo “sistema” em qualquer lugar da tela e se convencer de que é o verdadeiro negócio.
Ou os bandidos podem exibir deliberadamente o fundo pictórico mais recente (um daqueles Como que você vê? imagens) escolhidas pelo Windows para a tela de login, fornecendo assim uma medida de familiaridade visual e, assim, induzindo você a pensar que bloqueou a tela inadvertidamente e precisou autenticar novamente para voltar.
Mapeamos deliberadamente as áreas não utilizadas, mas fáceis de encontrar PrtSc chave em nosso laptop Linux para bloquear a tela instantaneamente, reinterpretando-a como um práticoProteger tela botão em vez de Print Screen. Isso significa que podemos bloquear o computador de forma confiável e rápida com um toque de polegar sempre que caminhamos ou nos afastamos, não importa o quão brevemente. Não o pressionamos involuntariamente com muita frequência, mas acontece de vez em quando.
O que fazer?
Verifique se você está atualizado, o que é uma questão simples em um laptop ou computador de mesa: Ajuda > Sobre o Firefox (ou Apple Menu > Sobre) fará o truque, exibindo uma caixa de diálogo que informa se você está atualizado ou não e se oferecendo para obter a versão mais recente se houver uma nova que você ainda não baixou.
Em dispositivos móveis, verifique com o aplicativo o mercado de software que você usa (por exemplo, Google Play no Android e no Apple App Store no iOS) para atualizações.
(No Linux e nos BSDs, você pode ter uma versão do Firefox fornecida pela sua distro; nesse caso, verifique com o mantenedor da distro a versão mais recente.)
Lembre-se, mesmo que você tenha a atualização automática ativada e ela geralmente funcione de maneira confiável, vale a pena verificar de qualquer maneira, já que leva apenas alguns segundos para garantir que nada deu errado e o deixou desprotegido.
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- Firefox
- firewall
- Kaspersky
- malwares
- Mcafee
- Mozilla
- Segurança nua
- NexBLOC
- Remendo
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- vulnerabilidade
- a segurança do website
- zefirnet
