การอัปเดตด้านความปลอดภัยครั้งล่าสุดทุกๆ สี่สัปดาห์ของ Firefox ออกแล้ว ทำให้เบราว์เซอร์สำรองที่ได้รับความนิยมเป็นเวอร์ชันใหม่ 107.0หรือ Extended Support Release (ESR) 102.5 หากคุณไม่ต้องการรับคุณสมบัติใหม่ทุกเดือน
(ดังที่เราได้อธิบายไปก่อนหน้านี้ หมายเลขรุ่น ESR บอกคุณว่าคุณมีฟีเจอร์ชุดใด รวมถึงจำนวนครั้งที่มีการอัปเดตความปลอดภัยตั้งแต่นั้นมา ซึ่งคุณสามารถนับใหม่ได้ในเดือนนี้โดยสังเกตว่า 102+5 = 107)
โชคดีที่ไม่มีแพตช์ซีโร่เดย์ในครั้งนี้ – ทั้งหมดนี้ ช่องโหว่ในรายการแก้ไข ถูกเปิดเผยอย่างมีความรับผิดชอบโดยนักวิจัยภายนอก หรือถูกค้นพบโดยทีมล่าแมลงและเครื่องมือของ Mozilla เอง
ความยุ่งเหยิงของแบบอักษร
ระดับความรุนแรงสูงสุดคือ จุดสูงซึ่งนำไปใช้กับจุดบกพร่องที่แตกต่างกันเจ็ดจุด โดยสี่จุดคือจุดบกพร่องในการจัดการหน่วยความจำที่ผิดพลาดซึ่งอาจนำไปสู่การหยุดทำงานของโปรแกรม ได้แก่ CVE-2022-45407ซึ่งผู้โจมตีสามารถใช้ประโยชน์ได้โดยการโหลดไฟล์ฟอนต์
ข้อบกพร่องส่วนใหญ่เกี่ยวกับการใช้ไฟล์ฟอนต์เกิดจากข้อเท็จจริงที่ว่าไฟล์ฟอนต์เป็นโครงสร้างข้อมูลไบนารีที่ซับซ้อน และมีรูปแบบไฟล์ต่างๆ มากมายที่คาดว่าผลิตภัณฑ์จะรองรับ
ซึ่งหมายความว่าช่องโหว่ที่เกี่ยวข้องกับฟอนต์มักจะเกี่ยวข้องกับการป้อนไฟล์ฟอนต์ที่ติดกับดักโดยเจตนาในเบราว์เซอร์ ดังนั้นมันจึงเกิดข้อผิดพลาดในการพยายามประมวลผล
แต่จุดบกพร่องนี้แตกต่างออกไป เนื่องจากผู้โจมตีสามารถใช้ไฟล์ฟอนต์ที่ถูกต้องตามกฎหมายและรูปแบบที่ถูกต้องเพื่อกระตุ้นให้เกิดการหยุดทำงาน
ข้อผิดพลาดไม่ได้เกิดขึ้นจากเนื้อหา แต่เกิดจากเวลา: เมื่อมีการโหลดฟอนต์ตั้งแต่สองฟอนต์ขึ้นไปพร้อมกันโดยเธรดพื้นหลังที่แยกจากกันของการดำเนินการ เบราว์เซอร์อาจผสมฟอนต์ที่กำลังประมวลผล ซึ่งอาจใส่ก้อนข้อมูล X จากฟอนต์ A ลงใน พื้นที่ที่จัดสรรสำหรับก้อนข้อมูล Y จากฟอนต์ B และทำให้หน่วยความจำเสียหาย
Mozilla อธิบายสิ่งนี้ว่าเป็น “ความผิดพลาดที่อาจเกิดขึ้นได้”แม้ว่าจะไม่มีข้อเสนอแนะว่าใครก็ตาม นับประสาอะไรกับผู้โจมตี ที่ยังไม่สามารถหาวิธีสร้างช่องโหว่ดังกล่าวได้
เต็มหน้าจอถือว่าเป็นอันตราย
ข้อบกพร่องที่น่าสนใจที่สุด อย่างน้อยในความเห็นของเราก็คือ CVE-2022-45404อธิบายสั้น ๆ ง่าย ๆ ว่า ก “บายพาสการแจ้งเตือนแบบเต็มหน้าจอ”.
หากคุณสงสัยว่าเหตุใดข้อบกพร่องในลักษณะนี้จึงจัดระดับความรุนแรงเป็น จุดสูงเป็นเพราะให้การควบคุมทุกพิกเซลบนหน้าจอไปยังหน้าต่างเบราว์เซอร์ที่มีการเติมข้อมูลและควบคุมโดย HTML, CSS และ JavaScript ที่ไม่น่าเชื่อถือ...
…จะมีประโยชน์อย่างน่าประหลาดใจสำหรับผู้ให้บริการเว็บไซต์ที่หลอกลวง
เราเคยเขียนเกี่ยวกับสิ่งที่เรียกว่า เบราว์เซอร์ในเบราว์เซอร์หรือ BitB การโจมตีที่อาชญากรไซเบอร์สร้างป๊อปอัปของเบราว์เซอร์ที่ตรงกับรูปลักษณ์ของหน้าต่างระบบปฏิบัติการ ดังนั้นจึงเป็นวิธีที่น่าเชื่อถือในการหลอกล่อให้คุณเชื่อถือบางอย่าง เช่น การแจ้งรหัสผ่านโดยการส่งต่อเป็นการแทรกแซงด้านความปลอดภัยโดยระบบ ตัวเอง:
วิธีหนึ่งในการสังเกตกลลวงของ BitB คือลองลากป๊อปอัปที่คุณไม่แน่ใจออกจากหน้าต่างของเบราว์เซอร์
หากป็อปอัปยังคงเชื่อมต่ออยู่ภายในเบราว์เซอร์ ดังนั้นคุณจึงไม่สามารถย้ายป๊อปอัปไปยังตำแหน่งของตัวเองบนหน้าจอ แสดงว่านั่นเป็นเพียงส่วนหนึ่งของหน้าเว็บที่คุณกำลังดู ไม่ใช่ป๊อปอัปของแท้ที่ระบบสร้างขึ้น นั่นเอง
แต่ถ้าหน้าเว็บที่มีเนื้อหาภายนอกสามารถครอบครองการแสดงผลทั้งหมดโดยอัตโนมัติโดยไม่กระตุ้นเตือนล่วงหน้า คุณอาจไม่ทราบว่า ไม่มีอะไรที่คุณเห็นจะเชื่อถือได้ไม่ว่าจะดูสมจริงแค่ไหนก็ตาม
ตัวอย่างเช่น มิจฉาชีพที่แอบอ้างอาจวาดป็อปอัประบบปฏิบัติการปลอมในหน้าต่างเบราว์เซอร์ปลอม เพื่อให้คุณสามารถลากกล่องโต้ตอบ "ระบบ" ไปที่ใดก็ได้บนหน้าจอและโน้มน้าวใจตัวเองว่าเป็นเรื่องจริง
หรือมิจฉาชีพอาจจงใจแสดงภาพพื้นหลังล่าสุด (หนึ่งในนั้น ชอบสิ่งที่คุณเห็น? ภาพ) ที่ Windows เลือกไว้สำหรับหน้าจอการเข้าสู่ระบบ ดังนั้นจึงเป็นการวัดความคุ้นเคยของภาพ และด้วยเหตุนี้จึงหลอกให้คุณคิดว่าคุณล็อกหน้าจอโดยไม่ได้ตั้งใจและจำเป็นต้องตรวจสอบสิทธิ์อีกครั้งเพื่อกลับเข้ามา
เราได้ตั้งใจทำแผนที่อย่างอื่นที่ไม่ได้ใช้งานแต่หาได้ง่าย PrtSc
บนแล็ปท็อป Linux ของเราเพื่อล็อคหน้าจอทันที แปลความหมายใหม่ว่าสะดวกป้องกันหน้าจอ ปุ่มแทน พิมพ์หน้าจอ. ซึ่งหมายความว่าเราสามารถล็อคคอมพิวเตอร์ได้อย่างรวดเร็วและเชื่อถือได้ด้วยการแตะนิ้วโป้งทุกครั้งที่เราเดินหรือหันไป ไม่ว่าจะสั้นแค่ไหนก็ตาม เราไม่ได้กดโดยไม่ได้ตั้งใจบ่อยนัก แต่มันเกิดขึ้นเป็นครั้งคราว
จะทำอย่างไร?
ตรวจสอบว่าคุณทันสมัย ซึ่งเป็นเรื่องง่ายๆ บนแล็ปท็อปหรือคอมพิวเตอร์เดสก์ท็อป: การช่วยเหลือ > เกี่ยวกับ Firefox (หรือ เมนูแอปเปิ้ล > เกี่ยวกับเรา) จะทำเคล็ดลับโดยแสดงกล่องโต้ตอบที่แจ้งให้คุณทราบว่าคุณเป็นปัจจุบันหรือไม่ และเสนอให้รับเวอร์ชันล่าสุดหากมีเวอร์ชันใหม่ที่คุณยังไม่ได้ดาวน์โหลด
บนอุปกรณ์เคลื่อนที่ ให้ตรวจสอบกับแอปสำหรับตลาดซอฟต์แวร์ที่คุณใช้ (เช่น Google Play บน Android และ Apple App Store บน iOS) สำหรับการอัปเดต
(บน Linux และ BSD คุณอาจมีรุ่น Firefox ที่ให้บริการโดย distro ของคุณ ถ้าใช่ ให้ตรวจสอบกับผู้ดูแล distro เพื่อหาเวอร์ชันล่าสุด)
โปรดจำไว้ว่า แม้ว่าคุณจะเปิดการอัปเดตอัตโนมัติไว้และมักจะทำงานได้อย่างน่าเชื่อถือ ยังไงก็คุ้มค่าที่จะตรวจสอบ เนื่องจากใช้เวลาเพียงไม่กี่วินาทีในการตรวจสอบให้แน่ใจว่าไม่มีอะไรผิดพลาดและทำให้คุณไม่ได้รับการป้องกัน
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- Firefox
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- Mozilla
- ความปลอดภัยเปล่า
- เน็กซ์บล๊อก
- ปะ
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความอ่อนแอ
- ความปลอดภัยของเว็บไซต์
- ลมทะเล