Firefoxin uusin kerran neljässä viikossa julkaistava tietoturvapäivitys tuo suositun vaihtoehtoisen selaimen versioon 107.0tai Extended Support Release (ESR) 102.5 jos et halua saada uusia ominaisuuksia joka kuukausi.
(Kuten olemme selittäneet aiemmin, ESR-versionumero kertoo, mikä ominaisuusjoukko sinulla on, sekä kuinka monta kertaa siihen on tehty tietoturvapäivityksiä sen jälkeen. Voit sovittaa ne uudelleen tässä kuussa huomaamalla, että 102+5 = 107.)
Onneksi tällä kertaa ei ole nollapäiväkorjauksia – kaikki haavoittuvuuksia korjauslistalla olivat joko ulkopuolisten tutkijoiden vastuullisesti paljastamia tai Mozillan oman virheenmetsästystiimin ja -työkalujen löytämiä.
Fontin sotkeutuminen
Korkein vakavuusaste on Korkea, joka koskee seitsemää erilaista vikaa, joista neljä on muistin hallinnan virheitä, jotka voivat johtaa ohjelman kaatumiseen, mukaan lukien CVE-2022-45407, jota hyökkääjä voi käyttää hyväkseen lataamalla fonttitiedoston.
Suurin osa fonttitiedostojen käyttöön liittyvistä virheistä johtuu siitä, että kirjasintiedostot ovat monimutkaisia binääritietorakenteita, ja tuotteiden odotetaan tukevan monia erilaisia tiedostomuotoja.
Tämä tarkoittaa, että kirjasimiin liittyviin haavoittuvuuksiin liittyy yleensä se, että selaimeen syötetään tietoisesti loukkuun jäänyt fonttitiedosto, jotta se menee pieleen sen käsittelyssä.
Mutta tämä virhe on erilainen, koska hyökkääjä voi käyttää laillista, oikein muodostettua kirjasintiedostoa käynnistääkseen kaatumisen.
Virhe ei voi laukaista sisällöstä vaan ajoituksesta: kun kaksi tai useampia fontteja ladataan samanaikaisesti erillisillä taustasäikeillä, selain saattaa sekoittaa käsittelemänsä kirjasimet, jolloin se saattaa sijoittaa datapalan X fontista A fonttiin A tilaa varattu tietopalalle Y fontista B ja siten turmelee muistia.
Mozilla kuvaa tätä a "Mahdollisesti hyödynnettävissä oleva kaatuminen", vaikka mikään ei viittaa siihen, että kukaan, saati hyökkääjä, olisi vielä keksinyt, kuinka tällainen hyväksikäyttö voidaan rakentaa.
Koko näytön katsotaan haitalliseksi
Mielenkiintoisin bugi, ainakin meidän mielestämme CVE-2022-45404, kuvataan ytimekkäästi yksinkertaisesti a "koko näytön ilmoitusten ohitus".
Jos mietit, miksi tällainen bugi oikeuttaisi vakavuustason Korkea, se johtuu siitä, että näytön jokaisen pikselin hallinta annetaan selainikkunalle, joka on täynnä ja jota ohjaavat epäluotettava HTML, CSS ja JavaScript…
…olisi yllättävän kätevä kaikille petollisille verkkosivustojen ylläpitäjille.
Olemme aiemmin kirjoittaneet ns Selain selaimessatai BitB-hyökkäykset, joissa kyberrikolliset luovat selaimen ponnahdusikkunan, joka vastaa käyttöjärjestelmän ikkunan ulkoasua ja tarjoaa näin uskottavan tavan huijata sinut luottamaan esimerkiksi salasanakehotteeseen välittämällä sen järjestelmän turvatoimeksi. itse:
Yksi tapa havaita BitB-temppuja on yrittää vetää ponnahdusikkuna, josta et ole varma, pois selaimen omasta ikkunasta.
Jos ponnahdusikkuna pysyy ympäröitynä selaimen sisällä, joten et voi siirtää sitä omaan paikkaansa näytöllä, se on ilmeisesti vain osa tarkastelemaasi verkkosivua, ei aito järjestelmän luoma ponnahdusikkuna. itse.
Mutta jos ulkoista sisältöä sisältävä verkkosivu voi ottaa koko näytön automaattisesti ilman varoitusta etukäteen, et ehkä ymmärrä, että mihinkään mitä näet, ei voi luottaariippumatta siitä, kuinka realistiselta se näyttää.
Huijarit voivat esimerkiksi maalata väärennetyn käyttöjärjestelmän ponnahdusikkunan väärennetyn selainikkunan sisään, jotta voit todellakin vetää "järjestelmä"-valintaikkunan missä tahansa näytöllä ja vakuuttaa itsellesi, että se oli todellinen juttu.
Tai roistot voisivat tarkoituksella näyttää uusimman kuvallisen taustan (yksi niistä Kuten mitä näet? kuvat), jotka Windows on valinnut kirjautumisnäyttöön, mikä tarjoaa mittarin visuaalisesta tutumisesta ja huijaa sinut siten luulemaan, että olit vahingossa lukinnut näytön ja sinun on todennettava uudelleen päästäksesi takaisin sisään.
Olemme tietoisesti kartoittaneet muutoin käyttämättömät mutta helposti löydettävät PrtSc näppäimellä Linux-kannettavassamme lukitaksesi näytön välittömästi ja tulkitsemalla sen käteväksiSuojaa näyttö painiketta sen sijaan Print Screen. Tämä tarkoittaa, että voimme lukita tietokoneen luotettavasti ja nopeasti peukalolla joka kerta, kun kävelemme tai käännymme pois, olipa se kuinka lyhyeksi tahansa. Emme paina sitä vahingossa kovin usein, mutta sitä tapahtuu silloin tällöin.
Mitä tehdä?
Tarkista, että olet ajan tasalla, mikä on yksinkertaista kannettavalla tai pöytätietokoneella: Apu: > Tietoja Firefoxista (Tai Apple Menu > Meistä) tekee tempun ja avaa valintaikkunan, joka kertoo, oletko ajan tasalla, ja tarjoaa uusimman version, jos et ole vielä ladannut uutta.
Tarkista mobiililaitteissa käyttämäsi ohjelmistomarkkinapaikka sovelluksesta (esim Google Play Androidissa ja Applen App Store iOS) päivityksiä varten.
(Linuxissa ja BSD-levyillä sinulla saattaa olla Firefox-versio, jonka jakelusi tarjoaa; jos on, tarkista uusin versio jakelun ylläpitäjältä.)
Muista, että vaikka automaattinen päivitys olisi päällä ja se yleensä toimii luotettavasti, kannattaa tarkistaa se joka tapauksessa, sillä kestää vain muutama sekunti varmistaaksesi, ettei mikään mennyt pieleen ja jättänyt sinut lopulta suojaamattomaksi.
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- Firefox
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- mozilla
- Naked Security
- NexBLOC
- läikkä
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- alttius
- verkkosivuilla turvallisuus
- zephyrnet
![S3 Ep123: Kryptoyritys kompromissi rappiot [Ääni + teksti]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep123-crypto-company-compromise-kerfuffle-audio-text-300x156.png)
![S3 Ep121: Voitko joutua hakkerointiin ja joutua syytteeseen siitä? [Ääni + teksti]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-300x156.png)