Firefox'un en son dört haftada bir güvenlik güncellemesi çıktı ve popüler alternatif tarayıcıyı sürüme getiriyor 107.0veya Uzatılmış Destek Sürümü (ESR) 102.5 her ay yeni özellik sürümleri almamayı tercih ediyorsanız.
(Daha önce açıkladığımız gibi, ESR sürüm numarası size hangi özellik setine sahip olduğunuzu ve o zamandan bu yana kaç kez güvenlik güncellemesi aldığını söyler, bu ay 102+5 = 107'ye dikkat ederek yeniden düzenleyebilirsiniz.)
Neyse ki, bu sefer sıfır gün yamaları yok - tüm düzeltme listesindeki güvenlik açıkları ya dış araştırmacılar tarafından sorumlu bir şekilde ifşa edildi ya da Mozilla'nın kendi böcek avlama ekibi ve araçları tarafından bulundu.
Yazı tipi karışıklığı
En yüksek şiddet seviyesi Yüksekdördü, bir programın çökmesine yol açabilecek yanlış bellek yönetimi kusurları olan yedi farklı hata için geçerlidir. CVE-2022-45407, bir saldırganın bir yazı tipi dosyası yükleyerek yararlanabileceği.
Yazı tipi dosyası kullanımıyla ilgili çoğu hata, yazı tipi dosyalarının karmaşık ikili veri yapıları olmasından ve ürünlerin desteklemesi beklenen birçok farklı dosya biçimi olmasından kaynaklanır.
Bu, yazı tipiyle ilgili güvenlik açıklarının genellikle kasıtlı olarak bubi tuzaklı bir yazı tipi dosyasını tarayıcıya beslemeyi içerdiği ve böylece onu işlemeye çalışırken yanlış gittiği anlamına gelir.
Ancak bu hata farklıdır çünkü bir saldırgan, bir kilitlenmeyi tetiklemek için yasal, doğru biçimlendirilmiş bir yazı tipi dosyası kullanabilir.
Hata, içerik tarafından değil, zamanlama tarafından tetiklenebilir: iki veya daha fazla yazı tipi aynı anda ayrı arka plan yürütme iş parçacıkları tarafından yüklendiğinde, tarayıcı işlediği yazı tiplerini karıştırabilir ve potansiyel olarak A yazı tipindeki X veri yığınını A yazı tipine yerleştirebilir. B yazı tipinden Y veri parçası için ayrılan alan ve bu nedenle belleği bozar.
Mozilla bunu şöyle açıklıyor: “potansiyel olarak kötüye kullanılabilir kaza”, bırakın bir saldırganı, kimsenin böyle bir istismarın nasıl oluşturulacağını henüz çözdüğüne dair bir öneri olmamasına rağmen.
Tam ekran zararlı kabul edilir
En ilginç hata, en azından bize göre, CVE-2022-45404, kısa ve öz olarak basitçe bir “tam ekran bildirim atlama”.
Bu tür bir hatanın neden önem düzeyini haklı çıkardığını merak ediyorsanız Yüksek, çünkü güvenilmeyen HTML, CSS ve JavaScript tarafından doldurulan ve kontrol edilen bir tarayıcı penceresine ekrandaki her pikselin kontrolünü vermek…
…herhangi bir hain web sitesi operatörü için şaşırtıcı derecede kullanışlı olacaktır.
Daha önce sözde hakkında yazdık Tarayıcı İçinde Tarayıcı, ya da BitB, siber suçluların bir işletim sistemi penceresinin görünümü ve verdiği izlenimle eşleşen bir tarayıcı açılır penceresi oluşturduğu ve böylece sistem tarafından bir güvenlik müdahalesi olarak göstererek parola istemi gibi bir şeye güvenmeniz için sizi kandırmanın inandırıcı bir yolunu sağladığı saldırılar kendisi:
BitB hilelerini tespit etmenin bir yolu, emin olmadığınız bir açılır pencereyi tarayıcının kendi penceresinden dışarı sürüklemeyi denemektir.
Açılır pencere tarayıcının içinde kalıyorsa ve ekranda kendine ait bir noktaya taşıyamıyorsanız, sistem tarafından oluşturulan gerçek bir açılır pencere yerine, bakmakta olduğunuz web sayfasının bir parçasıdır. kendisi.
Ancak, harici içeriğe sahip bir web sayfası, önceden bir uyarıya neden olmadan tüm ekranı otomatik olarak ele geçirebiliyorsa, bunun farkında olmayabilirsiniz. gördüğün hiçbir şeye güvenilemez, ne kadar gerçekçi görünürse görünsün.
Örneğin sinsi dolandırıcılar, sahte bir tarayıcı penceresinin içine sahte bir işletim sistemi açılır penceresi çizebilir, böylece gerçekten de "sistem" iletişim kutusunu ekranın herhangi bir yerine sürükleyebilir ve bunun gerçek anlaşma olduğuna kendinizi ikna edebilirsiniz.
Veya dolandırıcılar kasıtlı olarak en son resimli arka planı (bunlardan biri) görüntüleyebilir. Gibi görmek ne? Windows tarafından oturum açma ekranı için seçilen görüntüler), böylece görsel bir aşinalık ölçüsü sağlar ve böylece yanlışlıkla ekranı kilitlediğinizi ve tekrar girmek için yeniden kimlik doğrulaması yapmanız gerektiğini düşünmeniz için sizi kandırır.
Aksi takdirde kullanılmayan ancak bulması kolay olanların haritasını kasıtlı olarak çıkardık. PrtSc Ekranı anında kilitlemek için Linux dizüstü bilgisayarımızdaki tuşEkranı Koruyun düğmesi Ekranı Yazdır. Bu, ne kadar kısa olursa olsun her yürüdüğümüzde veya arkamızı döndüğümüzde bilgisayarı tek bir dokunuşla güvenilir ve hızlı bir şekilde kilitleyebileceğimiz anlamına gelir. İstemeden çok sık basmıyoruz ama zaman zaman oluyor.
Ne yapalım?
Güncel olup olmadığınızı kontrol edin, bu bir dizüstü veya masaüstü bilgisayarda basit bir meseledir: Destek > Firefox Hakkında (Ya da elma Menüsü > Hakkımızda) size güncel olup olmadığınızı söyleyen bir iletişim kutusu açarak ve henüz indirmediğiniz yeni bir sürüm varsa en son sürümü almayı teklif ederek işinizi görecektir.
Mobil cihazlarda, kullandığınız yazılım pazarını (örn. Google Oyun Android'de ve Apple App Store güncellemeler için iOS'ta).
(Linux ve BSD'lerde, dağıtımınız tarafından sağlanan bir Firefox yapınız olabilir; öyleyse, en son sürüm için dağıtım sağlayıcınıza danışın.)
Unutmayın, otomatik güncelleme açık olsa ve genellikle güvenilir bir şekilde çalışsa bile, hiçbir şeyin ters gitmediğinden ve sizi korumasız bıraktığından emin olmanın yalnızca birkaç saniye sürdüğü göz önüne alındığında, yine de kontrol etmeye değer.
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- iç güvenlik bakanlığı
- dijital cüzdanlar
- Firefox
- güvenlik duvarı
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- mozilla
- Çıplak Güvenlik
- NexBLOC
- Patch
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- VPN
- güvenlik açığı
- web sitesi güvenliği
- zefirnet
![S3 Ep102.5: “ProxyNotShell” Exchange hataları – bir uzman [Ses + Metin] PlatoBlockchain Veri Zekasını konuşuyor. Dikey Arama. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/pnc-1200-360x188.png "S3 Ep102.5: \"ProxyNotShell\" Değişim hataları – bir uzman konuşuyor [Ses + Metin]")
