فائر فاکس نے پوری اسکرین کی جعلی خامی کو ٹھیک کیا – ابھی اپ ڈیٹ حاصل کریں!

فائر فاکس کا تازہ ترین سیکیورٹی اپ ڈیٹ ہر چار ہفتوں میں ایک بار، مقبول متبادل براؤزر کو ورژن میں لا رہا ہے۔ 107.0، یا توسیعی سپورٹ ریلیز (ESR) 102.5 اگر آپ ہر ماہ نئی فیچر ریلیز حاصل کرنے کو ترجیح نہیں دیتے ہیں۔

(جیسا کہ ہم پہلے بیان کر چکے ہیں، ESR ورژن نمبر آپ کو بتاتا ہے کہ آپ کے پاس کون سا فیچر سیٹ ہے، نیز اس کے بعد سے اس میں کتنی بار سیکیورٹی اپ ڈیٹس ہو چکے ہیں، جسے آپ اس مہینے 102+5 = 107 کو دیکھ کر دوبارہ ترتیب دے سکتے ہیں۔)

خوش قسمتی سے، اس بار کوئی صفر دن کے پیچ نہیں ہیں - تمام فکس لسٹ میں کمزوریاں یا تو بیرونی محققین کے ذریعہ ذمہ داری کے ساتھ انکشاف کیا گیا تھا، یا موزیلا کی اپنی بگ ہنٹنگ ٹیم اور ٹولز کے ذریعہ پایا گیا تھا۔

فونٹ کی الجھن

سب سے زیادہ شدت کی سطح ہے۔ ہائی، جو سات مختلف کیڑوں پر لاگو ہوتا ہے، جن میں سے چار میموری کی خرابی کے انتظام کی خامیاں ہیں جو پروگرام کے کریش کا باعث بن سکتی ہیں، بشمول CVE-2022-45407، جس کا ایک حملہ آور فونٹ فائل لوڈ کرکے فائدہ اٹھا سکتا ہے۔

فونٹ فائل کے استعمال سے متعلق زیادہ تر کیڑے اس حقیقت کی وجہ سے ہوتے ہیں کہ فونٹ فائلیں پیچیدہ بائنری ڈیٹا سٹرکچرز ہیں، اور بہت سے مختلف فائل فارمیٹس ہیں جن کی مصنوعات سے حمایت کی توقع کی جاتی ہے۔

اس کا مطلب یہ ہے کہ فونٹ سے متعلق کمزوریوں میں عام طور پر جان بوجھ کر بوبی پھنسے ہوئے فونٹ فائل کو براؤزر میں فیڈ کرنا شامل ہوتا ہے تاکہ اس پر کارروائی کرنے کی کوشش میں غلط ہو جائے۔

لیکن یہ بگ مختلف ہے، کیونکہ حملہ آور کریش کو متحرک کرنے کے لیے ایک جائز، درست طریقے سے بنائی گئی فونٹ فائل کا استعمال کر سکتا ہے۔

بگ کو مواد سے نہیں بلکہ ٹائمنگ کے ذریعے متحرک کیا جا سکتا ہے: جب ایک ہی وقت میں دو یا دو سے زیادہ فونٹس کو الگ الگ بیک گراؤنڈ تھریڈز کے ذریعے لوڈ کیا جاتا ہے، تو براؤزر ان فونٹس کو ملا سکتا ہے جس پر وہ پروسیسنگ کر رہا ہے، ممکنہ طور پر فونٹ A سے ڈیٹا کا حصہ X میں ڈال سکتا ہے۔ فونٹ B سے ڈیٹا چنک Y کے لیے مختص جگہ اور اس طرح میموری کو خراب کرنا۔

موزیلا اس کی وضاحت کرتا ہے a "ممکنہ طور پر فائدہ مند حادثہ"، اگرچہ کوئی تجویز نہیں ہے کہ کسی نے، حملہ آور کو چھوڑ دیا، ابھی تک یہ معلوم کیا ہے کہ اس طرح کے استحصال کو کیسے بنایا جائے۔

پوری اسکرین کو نقصان دہ سمجھا جاتا ہے۔

سب سے دلچسپ بگ، کم از کم ہماری رائے میں، ہے CVE-2022-45404, مختصر طور پر صرف ایک کے طور پر بیان کیا گیا ہے۔ "فل سکرین نوٹیفکیشن بائی پاس".

اگر آپ سوچ رہے ہیں کہ اس طرح کا ایک بگ کی شدت کی سطح کا جواز کیوں پیش کرے گا۔ ہائی، اس کی وجہ یہ ہے کہ اسکرین پر موجود ہر پکسل کا کنٹرول ایک براؤزر ونڈو کو دینا ہے جو ناقابل بھروسہ HTML، CSS اور JavaScript کے ذریعے آباد اور کنٹرول ہوتی ہے…

…وہاں موجود کسی بھی غدار ویب سائٹ آپریٹرز کے لیے حیرت انگیز طور پر کارآمد ہوگا۔

ہم نام نہاد کے بارے میں پہلے بھی لکھ چکے ہیں۔ براؤزر میں براؤزر، یا BitB، حملے، جہاں سائبر کرائمین ایک براؤزر پاپ اپ بناتے ہیں جو آپریٹنگ سسٹم ونڈو کی شکل و صورت سے مماثل ہوتا ہے، اس طرح آپ کو پاس ورڈ پرامپٹ جیسی کسی چیز پر بھروسہ کرنے کے لیے دھوکہ دینے کا ایک قابل اعتبار طریقہ فراہم کرتا ہے اور اسے سسٹم کی جانب سے حفاظتی مداخلت کے طور پر بند کر دیتا ہے۔ خود:

BitB چالوں کو تلاش کرنے کا ایک طریقہ یہ ہے کہ ایک ایسے پاپ اپ کو گھسیٹنے کی کوشش کریں جس کے بارے میں آپ کو یقین نہیں ہے کہ براؤزر کی اپنی ونڈو سے باہر ہیں۔

اگر پاپ اپ براؤزر کے اندر موجود رہتا ہے، لہذا آپ اسے اسکرین پر اس کی اپنی جگہ پر نہیں لے جا سکتے، تو ظاہر ہے کہ یہ اس ویب صفحہ کا صرف ایک حصہ ہے جسے آپ دیکھ رہے ہیں، بجائے اس کے کہ سسٹم کے ذریعے تیار کردہ حقیقی پاپ اپ۔ خود

لیکن اگر بیرونی مواد کا ایک ویب صفحہ پہلے سے وارننگ دیے بغیر پورے ڈسپلے کو خود بخود اپنے قبضے میں لے سکتا ہے، تو شاید آپ کو اس بات کا بخوبی احساس نہ ہو۔ جو کچھ بھی آپ دیکھتے ہیں اس پر بھروسہ نہیں کیا جا سکتا، چاہے یہ کتنا ہی حقیقت پسندانہ کیوں نہ ہو۔

ڈرپوک بدمعاش، مثال کے طور پر، جعلی براؤزر ونڈو کے اندر ایک جعلی آپریٹنگ سسٹم پاپ اپ پینٹ کر سکتے ہیں، تاکہ آپ واقعی "سسٹم" ڈائیلاگ کو اسکرین پر کہیں بھی گھسیٹ سکیں اور اپنے آپ کو قائل کر سکیں کہ یہ اصل سودا ہے۔

یا بدمعاش جان بوجھ کر تازہ ترین تصویری پس منظر دکھا سکتے ہیں (ان میں سے ایک آپ کو دیکھ کر کس طرح؟ امیجز) کو ونڈوز کے ذریعے لاگ ان اسکرین کے لیے منتخب کیا گیا، اس طرح بصری واقفیت کا ایک پیمانہ فراہم کرتا ہے، اور اس طرح آپ کو یہ سوچنے پر مجبور کرتا ہے کہ آپ نے نادانستہ طور پر اسکرین کو لاک کر دیا ہے اور واپس آنے کے لیے دوبارہ تصدیق کرنے کی ضرورت ہے۔

ہم نے جان بوجھ کر دوسری صورت میں غیر استعمال شدہ لیکن تلاش کرنے میں آسان نقشہ بنایا ہے۔ PrtSc اسکرین کو فوری طور پر لاک کرنے کے لیے ہمارے لینکس لیپ ٹاپ پر کلید استعمال کریں، اسے ایک آسان کے طور پر دوبارہ بیان کریں۔سکرین کی حفاظت کریں کے بجائے بٹن پرنٹ سکرین. اس کا مطلب ہے کہ جب بھی ہم چلتے ہیں یا پیچھے ہٹتے ہیں تو ہم قابل اعتماد اور تیزی سے کمپیوٹر کو انگوٹھے کے تھپتھپا کر لاک کر سکتے ہیں، چاہے وہ کتنا ہی مختصر ہو۔ ہم اسے اکثر غیر ارادی طور پر نہیں دباتے، لیکن یہ وقتاً فوقتاً ہوتا رہتا ہے۔

کیا کیا جائے؟

چیک کریں کہ آپ اپ ٹو ڈیٹ ہیں، جو کہ لیپ ٹاپ یا ڈیسک ٹاپ کمپیوٹر پر ایک سادہ سی بات ہے: مدد > فائر فاکس کے بارے میں (یا ایپل مینو > ہمارے بارے میں) یہ چال کرے گا، ایک ڈائیلاگ پاپ اپ کرے گا جو آپ کو بتاتا ہے کہ آیا آپ موجودہ ہیں یا نہیں، اور اگر آپ نے ابھی تک کوئی نیا ورژن ڈاؤن لوڈ نہیں کیا ہے تو تازہ ترین ورژن حاصل کرنے کی پیشکش کرے گا۔

موبائل آلات پر، آپ جو سافٹ ویئر مارکیٹ پلیس استعمال کرتے ہیں اس کے لیے ایپ کے ساتھ چیک کریں (مثال کے طور پر گوگل کھیلیں اینڈرائیڈ اور پر ایپل اپلی کیشن سٹور iOS پر) اپ ڈیٹس کے لیے۔

(لینکس اور بی ایس ڈی پر، آپ کے پاس فائر فاکس کی تعمیر ہوسکتی ہے جو آپ کے ڈسٹرو کے ذریعہ فراہم کی گئی ہے؛ اگر ایسا ہے تو، تازہ ترین ورژن کے لیے اپنے ڈسٹرو مینٹینر سے رابطہ کریں۔)

یاد رکھیں، یہاں تک کہ اگر آپ نے خودکار اپڈیٹنگ آن کر رکھی ہے اور یہ عام طور پر قابل اعتماد طریقے سے کام کرتی ہے، بہر حال یہ چیک کرنے کے قابل ہے، بشرطیکہ اس بات کو یقینی بنانے میں صرف چند سیکنڈ لگیں کہ کچھ بھی غلط نہیں ہوا ہے اور آخر کار آپ کو غیر محفوظ چھوڑ دیا ہے۔

---