Zephyrnet-logo

Firefox 102 repareert beveiligingslek in adresbalk-spoofing (en helpt bij Follina!)

Datum:

Deze maand staat gepland Firefox-release is uit, met de nieuwe 102.0 versie patching 19 CVE-genummerde bugs.

Ondanks het grote aantal CVE's, zijn de patches omvatten niet eventuele bugs die al in het wild worden uitgebuit (in het jargon bekend als nul-dagen), en bevatten geen bugs gelabeld kritisch.

Misschien is de belangrijkste patch die voor CVE-2022-34479, gerechtigd: Het formaat van een pop-upvenster kan zodanig worden gewijzigd dat de adresbalk wordt bedekt met webinhoud.

Met deze bug kan een kwaadwillende website een pop-upvenster maken en het formaat wijzigen om de eigen adresbalk van de browser te overschrijven.

Gelukkig is deze spoofing-bug in de adresbalk alleen van toepassing op Firefox op Linux; op andere besturingssystemen kan de bug blijkbaar niet worden geactiveerd.

Zoals u weet, wordt verondersteld dat de eigen visuele componenten van de browser, waaronder de menubalk, zoekbalk, adresbalk, beveiligingswaarschuwingen, HTTPS-hangslotpictogram en meer, worden beschermd tegen manipulatie door niet-vertrouwde webpagina's die door de browser worden weergegeven.

Deze heilige componenten van de gebruikersinterface staan ​​in het jargon bekend als: chroom (waaraan de browser van Google zijn naam ontleent, voor het geval je je dit afvroeg).

Browser chrome is om voor de hand liggende redenen verboden voor webpagina's - om te voorkomen dat valse websites zichzelf als betrouwbaar voorstellen.

Dit betekent dat hoewel phishingsites vaak de look-and-feel van een legitieme website reproduceren met: griezelige precisie, het is niet de bedoeling dat ze uw browser kunnen misleiden om ze te presenteren alsof ze zijn gedownload van een echte URL.


Griezelige gelijkenis maar gelukkig de verkeerde URL!
Side-by-side weergave van een recente zwendel gericht op een Zuid-Afrikaanse bank

Op afbeeldingen gebaseerde RCE's

Intrigerend is dat de fixes van deze maand twee CVES bevatten die dezelfde bugtitel hebben, en die hetzelfde beveiligingswangedrag toelaten, hoewel ze verder niets met elkaar te maken hebben en werden gevonden door verschillende bugjagers.

CVE-2022-34482 en CVE-2022-34482 hebben beide de kop: Slepen en neerzetten van een kwaadaardige afbeelding kan hebben geleid tot kwaadaardig uitvoerbaar bestand en mogelijke uitvoering van code.

Zoals de naam van de bug doet vermoeden, betekenen deze fouten dat een afbeeldingsbestand dat u op uw bureaublad opslaat door het vanuit Firefox te slepen en neer te zetten, uiteindelijk op schijf kan worden opgeslagen met een extensie zoals .EXE in plaats van met de meer onschuldige extensie die je verwachtte, zoals .PNG or .JPG.

Aangezien Windows irritant (en ten onrechte, naar onze mening) u standaard geen bestandsextensies toont, kunnen deze Firefox-bugs ertoe leiden dat u het bestand dat u zojuist op uw bureaublad hebt neergezet, vertrouwt en het daarom opent zonder het ooit te weten van zijn echte bestandsnaam.

(Als u het bestand op een meer traditionele manier opslaat, zoals: klik met de rechtermuisknop > Sla afbeelding op als…, wordt de volledige bestandsnaam, compleet met extensie, onthuld.)

Deze bugs zijn geen echte kwetsbaarheden voor de uitvoering van externe code (RCE), aangezien een aanvaller u moet overhalen om inhoud van een webpagina op uw computer op te slaan en deze vervolgens van daaruit te openen, maar ze maken het wel veel waarschijnlijker dat je zou per ongeluk een kwaadaardig bestand starten.

Even terzijde raden we u ten zeerste aan om Windows te vertellen alle bestandsextensies te tonen, in plaats van ze stiekem te onderdrukken, door de Bestandsnaamextensies optie in Verkenner.

"Toon bestandsnaamextensies" inschakelen op Windows 11

Oplossingen voor Follina!

De Big Bad Windows Bug van vorige maand was: Follina, beter bekend als CVE-2022-30190.

Follina was een vervelende exploit voor het uitvoeren van code waarbij een aanvaller u een boobytraps Microsoft Office-document kon sturen dat was gekoppeld aan een URL die begint met de tekens ms-msdt:.

Dat document zou dan automatisch PowerShell-code van de keuze van de aanvaller uitvoeren, zelfs als je alleen maar naar het bestand in Explorer bladerde terwijl het voorbeeldvenster was ingeschakeld.

Firefox heeft zijn eigen aanvullende maatregelen genomen door in wezen de eigen URL-schema's van Microsoft te "disownen", te beginnen met ms-msdt: en andere potentieel risicovolle namen, zodat ze je niet eens meer vragen of je de URL wilt verwerken:

De ms-msdt, search en search-ms protocollen leveren inhoud aan Microsoft-toepassingen, waarbij de browser wordt omzeild, wanneer een gebruiker een prompt accepteert. Deze applicaties hadden bekende kwetsbaarheden, die in het wild werden uitgebuit (hoewel we er geen kennen die via Firefox werden uitgebuit), dus in deze release heeft Firefox geblokkeerd dat deze protocollen de gebruiker vragen om ze te openen.

Wat te doen?

Bezoek gewoon Help > Over Firefox om te controleren welke versie u gebruikt – u zoekt 102.0.

Als je up-to-date bent, zal een pop-up je dat vertellen; zo niet, dan zal de pop-up aanbieden om de update voor u te starten.

Als u of uw bedrijf vasthoudt aan de Firefox Extended Support Release (ESR), die slechts om de paar maanden functie-updates bevat, maar beveiligingsupdates levert wanneer dat nodig is, bent u op zoek naar ESR 91.11.

Vergeet niet dat ESR 91.11 geeft Firefox 91 aan met 11 updates aan beveiligingsreparaties, en omdat 91+11 = 102, kun je gemakkelijk zien dat je op hetzelfde niveau zit als de nieuwste mainstream-versie wat betreft beveiligingspatches.

Linux- en BSD-gebruikers die Firefox via hun distro hebben geïnstalleerd, moeten hun distro raadplegen voor de benodigde update.


spot_img

Laatste intelligentie

spot_img