Izšla je najnovejša varnostna posodobitev Firefoxa, ki se izvaja enkrat vsake štiri tedne, s čimer je priljubljeni alternativni brskalnik postal različica 107.0ali različica razširjene podpore (ESR) 102.5 če ne želite prejemati novih izdaj funkcij vsak mesec.
(Kot smo že razložili, vam številka različice ESR pove, kateri nabor funkcij imate, in število varnostnih posodobitev od takrat, kar lahko ta mesec znova preverite tako, da opazite, da je 102+5 = 107.)
Na srečo tokrat ni popravkov ničelnega dne – vsi ranljivosti na seznamu popravkov odgovorno razkrili zunanji raziskovalci ali pa jih je odkrila Mozillina ekipa in orodja za lov na hrošče.
Zapletanje pisave
Najvišja stopnja resnosti je visoka, ki velja za sedem različnih hroščev, od katerih so štiri napake pri slabem upravljanju pomnilnika, ki bi lahko povzročile zrušitev programa, vključno z CVE-2022-45407, ki bi ga lahko napadalec izkoristil z nalaganjem datoteke s pisavami.
Večino napak v zvezi z uporabo datoteke s pisavami povzroča dejstvo, da so datoteke s pisavami zapletene binarne podatkovne strukture in da obstaja veliko različnih formatov datotek, ki naj bi jih izdelki podpirali.
To pomeni, da ranljivosti, povezane s pisavami, običajno vključujejo vstavljanje namerno ujetih datotek s pisavami v brskalnik, tako da gre narobe pri poskusu obdelave.
Toda ta napaka je drugačna, saj lahko napadalec uporabi zakonito, pravilno oblikovano datoteko pisave, da sproži zrušitev.
Napake ne more sprožiti vsebina, ampak čas: ko sta dve ali več pisav hkrati naloženi z ločenimi nitmi izvajanja v ozadju, lahko brskalnik pomeša pisave, ki jih obdeluje, in potencialno postavi podatkovni del X iz pisave A v prostor, dodeljen za podatkovni del Y iz pisave B in s tem pokvarjen pomnilnik.
Mozilla to opisuje kot a "zrušitev, ki jo je mogoče izkoristiti", čeprav ni nobenega namiga, da je kdorkoli, kaj šele napadalec, še ugotovil, kako ustvariti takšno izkoriščanje.
Celozaslonski način velja za škodljivega
Najbolj zanimiv hrošč, vsaj po našem mnenju, je CVE-2022-45404, jedrnato in preprosto opisano kot a »obid celozaslonskih obvestil«.
Če se sprašujete, zakaj bi hrošč te vrste upravičil stopnjo resnosti visoka, je to zato, ker prepuščanje nadzora nad vsako slikovno piko na zaslonu oknu brskalnika, ki ga zapolnijo in nadzirajo nezaupljivi HTML, CSS in JavaScript ...
...bi bilo presenetljivo priročno za vse zahrbtne operaterje spletnih mest.
Pisali smo že o t.i Brskalnik-v-brskalniku, ali BitB, napadi, pri katerih kibernetski kriminalci ustvarijo pojavno okno brskalnika, ki se ujema z videzom in občutkom okna operacijskega sistema, s čimer zagotovijo verjeten način, da vas zavedejo, da zaupate nečemu, kot je poziv za geslo, tako da ga predstavijo kot varnostni poseg sistema sama:
Eden od načinov za odkrivanje trikov BitB je, da poskusite povleči pojavno okno, o katerem niste prepričani, iz okna brskalnika.
Če pojavno okno ostane zaprto v brskalniku, tako da ga ne morete premakniti na svoje mesto na zaslonu, potem je to očitno samo del spletne strani, ki jo gledate, in ne pravo pojavno okno, ki ga ustvari sistem. sama.
Če pa lahko spletna stran z zunanjo vsebino samodejno prevzame celoten zaslon, ne da bi pred tem sprožila opozorilo, se morda tega ne zavedate ničesar, kar vidite, ni mogoče verjeti, ne glede na to, kako realno je videti.
Zahrbtni prevaranti bi lahko na primer naslikali lažno pojavno okno operacijskega sistema v lažnem oknu brskalnika, tako da bi lahko res potegnili »sistemsko« pogovorno okno kjer koli na zaslonu in se prepričali, da gre za pravo stvar.
Ali pa bi prevaranti namerno prikazali najnovejše slikovno ozadje (eno od tistih Je všeč, kar vidiš? slike), ki jih je Windows izbral za prijavni zaslon, s čimer zagotavlja določeno mero vizualnega poznavanja in vas s tem zavede, da ste mislili, da ste nehote zaklenili zaslon in se morate znova avtentikirati, da se vrnete vanj.
Namenoma smo preslikali sicer neuporabljene, a jih je enostavno najti PrtSc tipko na našem prenosnem računalniku Linux za takojšnje zaklepanje zaslona in jo ponovno interpretiramo kot priročnoZaščita zaslona gumb namesto Natisnite zaslon. To pomeni, da lahko zanesljivo in hitro zaklenemo računalnik z dotikom palca vsakič, ko hodimo ali se obrnemo stran, ne glede na to, kako kratko. Nenamerno ga ne pritisnemo prav pogosto, se pa občasno zgodi.
Kaj storiti?
Preverite, ali ste posodobljeni, kar je preprosto na prenosnem ali namiznem računalniku: pomaga > O Firefox (ali Meni Apple > O meni) bo naredil trik, saj bo prikazal pogovorno okno, ki vam pove, ali ste aktualni ali ne, in ponudil, da dobite najnovejšo različico, če obstaja nova, ki je še niste prenesli.
Na mobilnih napravah z aplikacijo preverite trg programske opreme, ki ga uporabljate (npr Google Play v sistemu Android in Apple App Store v sistemu iOS) za posodobitve.
(V Linuxu in BSD-jih imate morda gradnjo Firefoxa, ki je na voljo v vaši distribuciji; če je tako, preverite pri vzdrževalcu distribucije za najnovejšo različico.)
Ne pozabite, da tudi če imate vklopljeno samodejno posodabljanje in običajno deluje zanesljivo, je vseeno vredno preveriti, saj traja le nekaj sekund, da se prepričate, da ni šlo kaj narobe in da ste kljub vsemu ostali nezaščiteni.
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- Firefox
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- Mozilla
- Gola varnost
- NexBLOC
- Patch
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- ranljivost
- spletna varnost
- zefirnet
