Выходит последнее обновление безопасности для Firefox, которое выходит раз в четыре недели, обновляя популярный альтернативный браузер. 107.0, или выпуск с расширенной поддержкой (ESR) 102.5 если вы предпочитаете не получать новые выпуски функций каждый месяц.
(Как мы объясняли ранее, номер версии ESR говорит вам, какой набор функций у вас есть, плюс количество обновлений безопасности, которые с тех пор были обновлены, и вы можете пересчитать это в этом месяце, заметив, что 102 + 5 = 107.)
К счастью, на этот раз нет патчей нулевого дня — все уязвимости в списке исправлений были либо ответственно раскрыты внешними исследователями, либо обнаружены собственной командой Mozilla по поиску ошибок и инструментами.
Запутанность шрифта
Высшая степень тяжести – High, что относится к семи различным ошибкам, четыре из которых являются недостатками неправильного управления памятью, которые могут привести к сбою программы, в том числе CVE-2022-45407, которым злоумышленник может воспользоваться, загрузив файл шрифта.
Большинство ошибок, связанных с использованием файлов шрифтов, вызваны тем фактом, что файлы шрифтов представляют собой сложные двоичные структуры данных, и существует множество различных форматов файлов, которые должны поддерживать продукты.
Это означает, что уязвимости, связанные со шрифтами, обычно связаны с вводом в браузер преднамеренно заминированного файла шрифта, чтобы он не мог его обработать.
Но эта ошибка отличается, потому что злоумышленник может использовать законный, правильно сформированный файл шрифта, чтобы вызвать сбой.
Ошибка может быть вызвана не содержимым, а временем: когда два или более шрифта загружаются одновременно отдельными фоновыми потоками выполнения, браузер может перепутать обрабатываемые шрифты, потенциально помещая блок данных X из шрифта A в пространство, выделенное для фрагмента данных Y из шрифта B и тем самым нарушающее память.
Mozilla описывает это как «потенциально эксплуатируемый сбой», хотя нет никаких предположений, что кто-то, не говоря уже о злоумышленнике, еще не придумал, как построить такой эксплойт.
Полноэкранный режим считается вредным
Самый интересный баг, по крайней мере, на наш взгляд, это CVE-2022-45404, описанный кратко просто как «обход полноэкранных уведомлений».
Если вам интересно, почему ошибка такого рода оправдывает уровень серьезности High, это потому, что контроль над каждым пикселем на экране передается окну браузера, которое заполняется и контролируется ненадежными HTML, CSS и JavaScript…
… было бы удивительно удобно для любых коварных операторов веб-сайтов.
Мы уже писали о так называемых Браузер в браузере, или BitB, атаки, когда киберпреступники создают всплывающее окно браузера, которое соответствует внешнему виду окна операционной системы, тем самым предоставляя правдоподобный способ обманом заставить вас доверять чему-то вроде запроса пароля, выдавая это за вмешательство системы в систему безопасности. сам:
Один из способов обнаружить уловки BitB — попытаться перетащить всплывающее окно, в котором вы не уверены, из собственного окна браузера.
Если всплывающее окно остается запертым внутри браузера, поэтому вы не можете переместить его в отдельное место на экране, то, очевидно, это просто часть веб-страницы, на которую вы смотрите, а не подлинное всплывающее окно, сгенерированное системой. сам.
Но если веб-страница с внешним содержимым может автоматически занять весь экран, не вызывая предварительного предупреждения, вы вполне можете этого не осознавать. ничему из того, что вы видите, нельзя доверять, как бы реалистично это ни выглядело.
Подлые мошенники, например, могли нарисовать поддельное всплывающее окно операционной системы внутри поддельного окна браузера, так что вы действительно могли перетащить «системный» диалог в любое место на экране и убедить себя, что это настоящая сделка.
Или мошенники могли намеренно отображать последний графический фон (один из тех, Нравится то, что вы видите? изображения), выбранные Windows для экрана входа в систему, таким образом обеспечивая меру визуального знакомства и тем самым обманывая вас, заставляя думать, что вы непреднамеренно заблокировали экран и вам нужно повторно аутентифицироваться, чтобы вернуться.
Мы намеренно нанесли на карту неиспользуемые, но легко находимые PrtSc ключ на нашем ноутбуке с Linux, чтобы мгновенно заблокировать экран, интерпретируя его как удобныйЗащитить экран кнопка вместо Печать экрана. Это означает, что мы можем надежно и быстро заблокировать компьютер одним нажатием большого пальца каждый раз, когда мы идем или отворачиваемся, независимо от того, насколько ненадолго. Мы не нажимаем ее непреднамеренно очень часто, но время от времени это происходит.
Что делать?
Убедитесь, что вы в курсе, что очень просто на ноутбуке или настольном компьютере: Документи > О Firefox (или Меню Apple > О нас) добьется цели, открыв диалоговое окно, в котором будет указано, используете ли вы текущую версию или нет, и предложит получить последнюю версию, если есть новая, которую вы еще не загрузили.
На мобильных устройствах проверьте в приложении рынок программного обеспечения, который вы используете (например, Гугл игры на Android и Apple App Store на iOS) для получения обновлений.
(В Linux и BSD у вас может быть сборка Firefox, предоставляемая вашим дистрибутивом; если это так, обратитесь к сопровождающему вашего дистрибутива за последней версией.)
Помните, что даже если у вас включено автоматическое обновление, и оно обычно работает надежно, в любом случае стоит проверить, учитывая, что требуется всего несколько секунд, чтобы убедиться, что ничего не пошло не так и не оставило вас без защиты.
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- Firefox
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- Mozilla
- Голая Безопасность
- НексБЛОК
- Патчи
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- уязвимость
- безопасности веб-сайтов
- зефирнет
