Firefox 修复了全屏伪造缺陷——立即获取更新！

Firefox 最新的每四个星期一次的安全更新已经发布，将流行的替代浏览器带到新版本 107.0或扩展支持版本 (ESR) 102.5 如果您不想每个月都发布新功能。

（正如我们之前解释的那样，ESR 版本号告诉您您拥有哪些功能集，以及自那时以来它进行安全更新的次数，您可以在本月通过注意 102+5 = 107 来重新计算。）

幸运的是，这次没有零日补丁——所有的 修复列表中的漏洞 要么由外部研究人员负责任地披露，要么由 Mozilla 自己的漏洞搜索团队和工具发现。

字体纠缠

最高严重级别是 高，它适用于七个不同的错误，其中四个是可能导致程序崩溃的内存管理不善缺陷，包括 CVE-2022-45407，攻击者可以通过加载字体文件来利用它。

大多数与字体文件使用有关的错误是由于字体文件是复杂的二进制数据结构这一事实引起的，并且产品需要支持许多不同的文件格式。

这意味着与字体相关的漏洞通常涉及将故意设置的诱杀字体文件输入浏览器，以便浏览器在处理它时出错。

但是这个错误是不同的，因为攻击者可以使用合法的、格式正确的字体文件来触发崩溃。

该错误可能不是由内容触发，而是由时间触发：当两个或多个字体由单独的后台执行线程同时加载时，浏览器可能会混淆它正在处理的字体，可能会将字体 A 中的数据块 X 放入从字体 B 分配给数据块 Y 的空间，从而破坏内存。

Mozilla 将其描述为 “潜在可利用的崩溃”，尽管没有任何迹象表明任何人（更不用说攻击者）已经弄清楚如何构建这样的漏洞。

全屏被认为是有害的

最有趣的错误，至少在我们看来，是 CVE-2022-45404，简明扼要地描述为 “全屏通知绕过”.

如果您想知道为什么这种类型的错误会证明严重性级别为 高，这是因为将屏幕上每个像素的控制权交给了由不受信任的 HTML、CSS 和 JavaScript 填充和控制的浏览器窗口……

......对于那里的任何奸诈的网站运营商来说，这将是非常方便的。

我们之前写过关于所谓的 浏览器中的浏览器或 BitB 攻击，其中网络罪犯创建一个与操作系统窗口的外观和感觉相匹配的浏览器弹出窗口，从而提供一种可信的方式来诱使您信任密码提示之类的内容，将其作为系统的安全干预进行传递本身：

发现 BitB 技巧的一种方法是尝试将您不确定的弹出窗口拖出浏览器自己的窗口。

如果弹出窗口保留在浏览器内，所以您无法将它移动到屏幕上它自己的位置，那么它显然只是您正在查看的网页的一部分，而不是系统生成的真正弹出窗口本身。

但是，如果外部内容的网页可以在没有事先发出警告的情况下自动接管整个显示，您很可能没有意识到 你所看到的一切都不可信任，无论它看起来多么逼真。

例如，狡猾的骗子可以在假的浏览器窗口中绘制一个假的操作系统弹出窗口，这样您就可以将“系统”对话框拖到屏幕上的任何位置，并说服自己这是真的。

或者骗子可以故意展示最新的图片背景（其中之一 就像你看到的一样？ Windows 为登录屏幕选择的图像），从而提供了视觉熟悉度的衡量标准，从而诱使您认为您无意中锁定了屏幕并需要重新验证才能重新登录。

我们特意绘制了未使用但易于查找的地图 PrtSc 我们 Linux 笔记本电脑上的键可以立即锁定屏幕，将其重新解释为一个方便的工具保护屏幕 按钮而不是 打印屏幕. 这意味着我们每次走动或转身时都可以通过拇指敲击可靠快速地锁定计算机，无论时间有多短。 我们不会经常无意中按下它，但它确实会不时发生。

怎么办呢？

检查您是否是最新的，这在笔记本电脑或台式电脑上很简单： 政策和帮助 > 关于Firefox （或 苹果菜单 > 关于) 会成功，弹出一个对话框，告诉你是否是最新版本，如果有新版本你还没有下载，则提供获取最新版本。

在移动设备上，检查您使用的软件市场的应用程序（例如 Google Play 在 Android 和 苹果应用程序商店 在 iOS 上）以获取更新。

（在 Linux 和 BSD 上，您可能有一个由您的发行版提供的 Firefox 版本；如果是这样，请与您的发行版维护者联系以获取最新版本。）

请记住，即使您打开了自动更新并且它通常可以可靠地运行，但无论如何还是值得检查一下，因为它只需要几秒钟就可以确保没有任何问题并最终让您不受保护。

---