Le programme de ce mois-ci Version de Firefox est sorti, avec le nouveau 102.0 version corrigeant 19 bogues numérotés CVE.
Malgré le grand nombre de CVE, les correctifs ne pas inclure tous les bugs déjà exploités dans la nature (connus dans le jargon comme zéro-jour), et n'incluez aucun bogue étiqueté Critical.
Le patch le plus important est peut-être celui de CVE-2022-34479, intitulé: Une fenêtre contextuelle peut être redimensionnée de manière à superposer la barre d'adresse avec du contenu Web.
Ce bogue permet à un site Web malveillant de créer une fenêtre contextuelle, puis de la redimensionner pour écraser la propre barre d'adresse du navigateur.
Heureusement, ce bogue d'usurpation de la barre d'adresse ne s'applique qu'à Firefox sous Linux ; sur d'autres systèmes d'exploitation, le bogue ne peut apparemment pas être déclenché.
Comme vous le savez, les composants visuels du navigateur, y compris la barre de menus, la barre de recherche, la barre d'adresse, les alertes de sécurité, l'icône de cadenas HTTPS, etc., sont censés être protégés contre la manipulation par des pages Web non fiables rendues par le navigateur.
Ces sacro-saints composants de l'interface utilisateur sont connus dans le jargon sous le nom de chrome (d'où le navigateur de Google tire son nom, au cas où vous vous poseriez la question).
Le chrome du navigateur est interdit aux pages Web pour des raisons évidentes - pour empêcher les faux sites Web de se présenter à tort comme dignes de confiance.
Cela signifie que même si les sites de phishing reproduisent souvent l'apparence d'un site Web légitime avec précision étonnante, ils ne sont pas censés pouvoir inciter votre navigateur à les présenter comme s'ils avaient été téléchargés à partir d'une URL authentique.
Vue côte à côte d'une récente escroquerie visant une banque sud-africaine
RCE basés sur l'image
Curieusement, les correctifs de ce mois-ci incluent deux CVES qui ont le même titre de bogue et qui permettent le même mauvais comportement de sécurité, même s'ils ne sont par ailleurs pas liés et ont été trouvés par différents chasseurs de bogues.
CVE-2022-34482 et CVE-2022-34482 sont tous les deux intitulés : Le glisser-déposer d'une image malveillante aurait pu conduire à l'exécution d'un exécutable malveillant et d'un code potentiel.
Comme le nom du bogue l'indique, ces failles signifient qu'un fichier image que vous enregistrez sur votre bureau en le faisant glisser et en le déposant depuis Firefox peut finir par être enregistré sur le disque avec une extension telle que .EXE au lieu de l'extension plus innocente que vous attendiez, comme .PNG or .JPG.
Étant donné que Windows, fâcheusement (et à tort selon nous), ne vous montre pas les extensions de fichiers par défaut, ces bugs de Firefox pourraient vous amener à faire confiance au fichier que vous venez de déposer sur votre bureau, et donc à l'ouvrir sans jamais vous en rendre compte de son vrai nom de fichier.
(Si vous enregistrez le fichier par des moyens plus traditionnels tels que Clic-droit > Enregistrer l'image sous…, le nom de fichier complet, avec l'extension, est révélé.)
Ces bogues ne sont pas de véritables vulnérabilités d'exécution de code à distance (RCE), étant donné qu'un attaquant doit vous persuader d'enregistrer le contenu d'une page Web sur votre ordinateur, puis de l'ouvrir à partir de là, mais ils rendent beaucoup plus probable que vous lanceriez un fichier malveillant par erreur.
En aparté, nous vous recommandons fortement de dire à Windows d'afficher toutes les extensions de fichiers, au lieu de les supprimer secrètement, en modifiant le Extensions de nom de fichier option dans l'explorateur de fichiers.
Corrections pour Follina !
Le Big Bad Windows Bug du mois dernier était Follina, correctement connu sous le nom de CVE-2022-30190.
Follina était un méchant exploit d'exécution de code par lequel un attaquant pouvait vous envoyer un document Microsoft Office piégé lié à une URL commençant par les caractères ms-msdt:.
Ce document exécuterait alors automatiquement le code PowerShell du choix de l'attaquant, même si tout ce que vous faisiez était de parcourir le fichier dans l'Explorateur avec le volet de prévisualisation activé.
Firefox a pesé avec ses propres atténuations supplémentaires en «reniant» essentiellement les schémas d'URL propriétaires de Microsoft commençant par ms-msdt: et d'autres noms potentiellement risqués, de sorte qu'ils ne vous demandent même plus si vous souhaitez traiter l'URL :
La
ms-msdt,searchetsearch-msLes protocoles fournissent du contenu aux applications Microsoft, sans passer par le navigateur, lorsqu'un utilisateur accepte une invite. Ces applications ont eu des vulnérabilités connues, exploitées dans la nature (bien que nous n'en connaissions aucune exploitée via Firefox), donc dans cette version, Firefox a empêché ces protocoles d'inviter l'utilisateur à les ouvrir.
Que faire?
Il suffit de visiter d’aide > À propos de Firefox pour vérifier sur quelle version vous êtes - vous recherchez 102.0.
Si vous êtes à jour, une fenêtre contextuelle vous le dira. sinon, la popup vous proposera de démarrer la mise à jour pour vous.
Si vous ou votre entreprise êtes resté fidèle à la version de support étendu de Firefox (ESR), qui inclut des mises à jour de fonctionnalités uniquement tous les quelques mois mais fournit des mises à jour de sécurité chaque fois que nécessaire, vous recherchez ESR 91.11.
Rappelez-vous que ESR 91.11 désigne Firefox 91 avec 11 mises à jour de correctifs de sécurité, et parce que 91 + 11 = 102, vous pouvez facilement dire que vous êtes au niveau de la dernière version grand public en ce qui concerne les correctifs de sécurité.
Les utilisateurs Linux et BSD qui ont installé Firefox via leur distribution devront vérifier auprès de leur distribution la mise à jour nécessaire.
