È uscito l’ultimo aggiornamento di sicurezza di Firefox che porta il popolare browser alternativo alla versione 107.0 o Extended Support Release (ESR) 102.5
Il livello di gravità più alto è High , che si applica a sette diversi bug, quattro dei quali sono difetti di cattiva gestione della memoria che potrebbero portare a un arresto anomalo del programma, incluso CVE-2022-45407 , che un utente malintenzionato potrebbe sfruttare caricando un file di font.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
La maggior parte dei bug relativi all’utilizzo dei file di caratteri sono causati dal fatto che i file di caratteri sono strutture di dati binari complesse e che esistono molti formati di file diversi che i prodotti dovrebbero supportare.
Ciò significa che le vulnerabilità relative ai caratteri di solito implicano l’inserimento di un file di caratteri deliberatamente esplosivo nel browser in modo che vada storto nel tentativo di elaborarlo.
Ma questo bug è diverso, perché un utente malintenzionato potrebbe utilizzare un file di font legittimo e formato correttamente per attivare un arresto anomalo.
Il bug può essere attivato non dal contenuto ma dalla tempistica: quando due o più font vengono caricati contemporaneamente da thread di esecuzione in background separati, il browser potrebbe confondere i font che sta elaborando, inserendo potenzialmente il blocco di dati X dal font A nel spazio allocato per il blocco di dati Y dal carattere B e quindi danneggiando la memoria.
Mozilla lo descrive come un “crash potenzialmente sfruttabile” , anche se non vi è alcun suggerimento che qualcuno, per non parlare di un utente malintenzionato, abbia ancora capito come costruire un tale exploit.
Schermo intero considerato dannoso
Il bug più interessante, almeno a nostro avviso, è CVE-2022-45404 , descritto succintamente semplicemente come un “bypass delle notifiche a schermo intero” .
Se ti stai chiedendo perché un bug di questo tipo giustificherebbe un livello di gravità High , è perché dare il controllo su ogni pixel dello schermo a una finestra del browser che è popolata e controllata da HTML, CSS e JavaScript non attendibili…
Intermezzo promozionale ... continua la lettura dopo il box:
…sarebbe sorprendentemente utile per qualsiasi infido operatore di siti web là fuori.
Abbiamo già scritto dei cosiddetti attacchi Browser-in-the-Browser , o BitB, in cui i criminali informatici creano un popup del browser che corrisponde all’aspetto di una finestra del sistema operativo, fornendo così un modo credibile per indurti a fidarti qualcosa come una richiesta di password facendola passare per un intervento di sicurezza da parte del sistema stesso:
Un modo per individuare i trucchi di BitB è provare a trascinare un popup di cui non sei sicuro fuori dalla finestra del browser.
Se il popup rimane racchiuso all’interno del browser, quindi non puoi spostarlo in un punto a sé stante sullo schermo, allora è ovviamente solo una parte della pagina web che stai guardando, piuttosto che un vero e proprio popup generato dal sistema si.
Ma se una pagina Web di contenuto esterno può occupare automaticamente l’intero display senza provocare un avviso in anticipo, potresti benissimo non renderti conto che nulla di ciò che vedi può essere attendibile , non importa quanto realistico sembri.
I truffatori subdoli, ad esempio, potrebbero dipingere un finto popup del sistema operativo all’interno di una finta finestra del browser, in modo che tu possa effettivamente trascinare la finestra di dialogo “sistema” ovunque sullo schermo e convincerti che fosse il vero affare.
Oppure i truffatori potrebbero mostrare deliberatamente l’ultimo sfondo pittorico (una di quelle immagini Ti piace quello che vedi? ) scelto da Windows per la schermata di accesso, fornendo così una misura della familiarità visiva, e quindi indurti a pensare di aver bloccato inavvertitamente lo schermo e aveva bisogno di riautenticarsi per rientrare.
Cosa fare?
Verifica di essere aggiornato, il che è semplice su un laptop o un computer desktop: Aiuto > Informazioni su Firefox (o Menu Apple > Informazioni su ) farà il trucco, aprendo una finestra di dialogo che ti dice se sei aggiornato o meno e offrendoti di ottenere l’ultima versione se ce n’è una nuova che non hai ancora scaricato.
Sui dispositivi mobili, verifica con l’app il marketplace software che utilizzi (ad es . Google Play su Android e Apple App Store su iOS) per gli aggiornamenti.
(Su Linux e BSD, potresti avere una build di Firefox fornita dalla tua distribuzione; in tal caso, controlla con il tuo manutentore della distribuzione per l’ultima versione.)
Ricorda, anche se hai attivato l’aggiornamento automatico e di solito funziona in modo affidabile, vale comunque la pena controllare, dato che bastano pochi secondi per assicurarsi che nulla sia andato storto e ti abbia lasciato senza protezione.