Firefoxs senaste säkerhetsuppdatering en gång var fjärde vecka är ute, vilket ger den populära alternativa webbläsaren till version 107.0, eller Extended Support Release (ESR) 102.5 om du föredrar att inte få nya funktioner varje månad.
(Som vi har förklarat tidigare talar ESR-versionsnumret om vilken funktionsuppsättning du har, plus antalet gånger den har haft säkerhetsuppdateringar sedan dess, som du kan stämma av den här månaden genom att lägga märke till att 102+5 = 107.)
Lyckligtvis finns det inga zero-day patchar den här gången – alla sårbarheter på fixlistan avslöjades antingen på ett ansvarsfullt sätt av externa forskare eller hittade av Mozillas eget feljaktteam och verktyg.
Typsnitt intrassling
Den högsta svårighetsgraden är Hög, som gäller sju olika buggar, varav fyra är felhanteringsfel i minnet som kan leda till en programkrasch, bl.a. CVE-2022-45407, som en angripare kan utnyttja genom att ladda en teckensnittsfil.
De flesta buggar relaterade till teckensnittsfilanvändning orsakas av det faktum att teckensnittsfiler är komplexa binära datastrukturer, och det finns många olika filformat som produkter förväntas stödja.
Detta innebär att teckensnittsrelaterade sårbarheter vanligtvis innebär att en medvetet instängd typsnittsfil matas in i webbläsaren så att det blir fel när man försöker bearbeta den.
Men denna bugg är annorlunda, eftersom en angripare kan använda en legitim, korrekt formaterad teckensnittsfil för att utlösa en krasch.
Felet kan utlösas inte av innehåll utan av timing: när två eller flera teckensnitt laddas samtidigt av separata bakgrundstrådar för körning, kan webbläsaren blanda ihop teckensnitten som den bearbetar, vilket potentiellt lägger dataklump X från teckensnitt A till utrymme tilldelat för dataklump Y från teckensnitt B och skadar därmed minnet.
Mozilla beskriver detta som ett "potentiellt exploateringsbar krasch", även om det inte finns något som tyder på att någon, än mindre en angripare, ännu har kommit på hur man bygger en sådan exploatering.
Helskärm anses vara skadlig
Den mest intressanta buggen, åtminstone enligt vår åsikt, är CVE-2022-45404, kortfattat beskrivet som en "förbigå helskärmsmeddelande".
Om du undrar varför en bugg av detta slag skulle motivera en svårighetsgrad av Hög, det beror på att man ger kontroll över varje pixel på skärmen till ett webbläsarfönster som är fyllt och kontrollerat av opålitlig HTML, CSS och JavaScript...
…skulle vara förvånansvärt praktiskt för alla förrädiska webbplatsoperatörer där ute.
Vi har skrivit tidigare om sk Webbläsare-i-webbläsaren, eller BitB, attacker, där cyberbrottslingar skapar en webbläsar-popup som matchar utseendet och känslan av ett operativsystems fönster, vilket ger ett trovärdigt sätt att lura dig att lita på något som en lösenordsuppmaning genom att utge det som ett säkerhetsingripande av systemet sig:
Ett sätt att upptäcka BitB-tricks är att försöka dra en popup som du inte är säker på ut ur webbläsarens eget fönster.
Om popup-fönstret förblir inkapslat i webbläsaren, så att du inte kan flytta det till en egen plats på skärmen, så är det uppenbarligen bara en del av webbsidan du tittar på, snarare än en äkta popup som genereras av systemet sig.
Men om en webbsida med externt innehåll kan ta över hela displayen automatiskt utan att provocera fram en varning i förväg, kanske du mycket väl inte inser att inget du ser kan lita på, hur realistiskt det än ser ut.
Sneaky skurkar, till exempel, kunde måla en falsk operativsystempopup i ett falskt webbläsarfönster, så att du verkligen kunde dra "system"-dialogrutan var som helst på skärmen och övertyga dig själv om att det var den verkliga affären.
Eller så kan skurkarna medvetet visa den senaste bildbakgrunden (en av dessa Gillar du vad du ser? bilder) som valts av Windows för inloggningsskärmen, vilket ger ett mått av visuell förtrogenhet och därigenom lura dig att tro att du av misstag hade låst skärmen och behövde autentisera igen för att komma in igen.
Vi har medvetet kartlagt de annars oanvända men lätta att hitta PrtSc tangenten på vår bärbara Linux-dator för att låsa skärmen omedelbart och omtolka den som en praktiskSkydda skärmen knapp istället för Print Screen. Det betyder att vi på ett tillförlitligt och snabbt sätt kan låsa datorn med ett tumtryck varje gång vi går eller vänder oss bort, hur kort som helst. Vi trycker inte på det oavsiktligt särskilt ofta, men det händer då och då.
Vad göra?
Kontrollera att du är uppdaterad, vilket är en enkel sak på en bärbar eller stationär dator: Hjälp > Om Firefox (eller Apple-menyn > Om oss) kommer att göra susen, poppar upp en dialogruta som talar om för dig om du är aktuell eller inte, och erbjuder dig att få den senaste versionen om det finns en ny som du inte har laddat ner ännu.
På mobila enheter, kolla med appen för den programvarumarknad du använder (t.ex Google Play på Android och Apple App Store på iOS) för uppdateringar.
(På Linux och BSD-enheter kan du ha en Firefox-build som tillhandahålls av din distro; i så fall kontrollera med din distro-underhållare för den senaste versionen.)
Kom ihåg att även om du har automatisk uppdatering påslagen och det vanligtvis fungerar tillförlitligt, är det värt att kontrollera ändå, med tanke på att det bara tar några sekunder att se till att inget gick fel och lämnade dig oskyddad trots allt.
- blockchain
- coingenius
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- säkerhetstjänsten
- digitala plånböcker
- firefox
- brandvägg
- kaspersky
- malware
- Mcafee
- Mozilla
- Naken säkerhet
- NexBLOC
- Lappa
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- VPN
- sårbarhet
- webbplats säkerhet
- zephyrnet
![S3 Ep102.5: "ProxyNotShell" Exchange buggar – en expert talar [Ljud + Text] PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/pnc-1200-360x188.png "S3 Ep102.5: \"ProxyNotShell\" Exchange buggar – en expert talar [Ljud + Text]")
