Firefox remediază defecțiunea de falsificare a ecranului complet - obțineți actualizarea acum!

Cea mai recentă actualizare de securitate a Firefox, o dată la fiecare patru săptămâni, a fost lansată, aducând popularul browser alternativ la versiune 107.0, sau versiunea de asistență extinsă (ESR) 102.5 dacă preferați să nu primiți noi lansări de funcții în fiecare lună.

(După cum am explicat mai înainte, numărul versiunii ESR vă spune ce set de caracteristici aveți, plus numărul de actualizări de securitate de atunci, pe care le puteți reconcilia luna aceasta observând că 102+5 = 107.)

Din fericire, de data aceasta nu există patch-uri zero-day - toate vulnerabilități din lista de reparații au fost fie dezvăluite în mod responsabil de către cercetători externi, fie găsite de echipa și instrumentele Mozilla de vânătoare de erori.

Încurcarea fonturilor

Cel mai înalt nivel de severitate este Înalt, care se aplică la șapte erori diferite, dintre care patru sunt defecte de gestionare greșită a memoriei care ar putea duce la o blocare a programului, inclusiv CVE-2022-45407, pe care un atacator l-ar putea exploata prin încărcarea unui fișier cu font.

Majoritatea erorilor legate de utilizarea fișierelor cu fonturi sunt cauzate de faptul că fișierele cu fonturi sunt structuri complexe de date binare și există multe formate de fișiere diferite pe care produsele ar trebui să le suporte.

Aceasta înseamnă că vulnerabilitățile legate de fonturi implică, de obicei, introducerea unui fișier de fonturi prins în mod deliberat în browser, astfel încât să nu meargă greșit încercând să-l proceseze.

Dar această eroare este diferită, deoarece un atacator ar putea folosi un fișier de font legitim, format corect, pentru a declanșa un accident.

Eroarea poate fi declanșată nu de conținut, ci de sincronizare: atunci când două sau mai multe fonturi sunt încărcate în același timp prin fire de execuție de fundal separate, browserul poate amesteca fonturile pe care le procesează, punând potențial porțiunea de date X din fontul A în spațiu alocat pentru fragmentul de date Y din fontul B și, prin urmare, corupând memoria.

Mozilla descrie acest lucru ca fiind un „accident cu potențial exploatabil”, deși nu există nicio sugestie că cineva, darămite un atacator, și-a dat seama încă cum să construiască un astfel de exploit.

Ecran complet considerat dăunător

Cel mai interesant bug, cel puțin în opinia noastră, este CVE-2022-45404, descris succint simplu ca a „ocolire notificări pe ecran complet”.

Dacă vă întrebați de ce o eroare de acest fel ar justifica un nivel de severitate al Înalt, pentru că dând control asupra fiecărui pixel de pe ecran unei ferestre de browser care este populată și controlată de HTML, CSS și JavaScript neîncrezători...

… ar fi surprinzător de util pentru orice operator de site-uri web perfidă de acolo.

Am mai scris despre așa-zis Browser-in-Browser, sau BitB, atacuri, în care infractorii cibernetici creează o fereastră pop-up de browser care se potrivește cu aspectul și senzația unei ferestre de sistem de operare, oferind astfel o modalitate credibilă de a vă păcăli să aveți încredere în ceva de genul unei solicitări de parolă, transformând-o drept o intervenție de securitate a sistemului in sine:

O modalitate de a descoperi trucurile BitB este să încercați să trageți o fereastră pop-up despre care nu sunteți sigur din fereastra browserului.

Dacă pop-up-ul rămâne înglobat în browser, așa că nu îl puteți muta într-un loc propriu de pe ecran, atunci este evident doar o parte a paginii web la care vă uitați, mai degrabă decât un pop-up autentic generat de sistem în sine.

Dar dacă o pagină web cu conținut extern poate prelua automat întregul afișaj fără a provoca un avertisment în prealabil, s-ar putea foarte bine să nu realizezi că nimic din ceea ce vezi nu poate fi de încredere, indiferent cât de realist ar părea.

Escrocii ascunși, de exemplu, ar putea picta un pop-up de sistem de operare fals într-o fereastră de browser falsă, astfel încât să puteți trage cu adevărat dialogul „sistem” oriunde pe ecran și să vă convingeți că este adevărata afacere.

Sau escrocii ar putea afișa în mod deliberat cel mai recent fundal pictural (unul dintre acestea Ca ce vezi? imagini) alese de Windows pentru ecranul de conectare, oferind astfel o măsură de familiaritate vizuală și, prin urmare, vă păcălesc să credeți că ați blocat din greșeală ecranul și că ați trebuit să vă autentificați din nou pentru a reveni.

Am cartografiat în mod deliberat elementele care altfel nu erau folosite, dar ușor de găsit PrtSc tasta de pe laptopul nostru Linux pentru a bloca ecranul instantaneu, reinterpretându-l ca fiind utilProtejați ecranul butonul în loc de Print Screen. Aceasta înseamnă că putem bloca computerul în mod fiabil și rapid cu o apăsare cu degetul mare de fiecare dată când mergem sau ne întoarcem, indiferent cât de scurt. Nu îl apăsăm neintenționat foarte des, dar se întâmplă din când în când.

Ce să fac?

Verificați dacă sunteți la curent, ceea ce este o chestiune simplă pe un laptop sau un computer desktop: Ajutor > Despre Firefox (Sau Meniu Apple > Despre Noi) va face truc, afișând un dialog care vă spune dacă sunteți curent sau nu și oferindu-vă să obțineți cea mai recentă versiune dacă există una nouă pe care nu ați descărcat-o încă.

Pe dispozitivele mobile, consultați aplicația pentru piața de software pe care o utilizați (de ex Google Play, pe Android și Apple App Store pe iOS) pentru actualizări.

(Pe Linux și BSD-uri, este posibil să aveți o versiune Firefox care este furnizată de distro-ul dvs.; dacă da, verificați cu întreținătorul distribuției dvs. cea mai recentă versiune.)

Amintiți-vă, chiar dacă aveți actualizarea automată activată și de obicei funcționează fiabil, oricum merită verificat, având în vedere că durează doar câteva secunde pentru a vă asigura că nimic nu a mers prost și nu v-a lăsat neprotejat până la urmă.

---