В этом месяце запланировано Отправка Firefox вышел, с новым 102.0 версия, исправляющая 19 ошибок с номерами CVE.
Несмотря на большое количество CVE, патчи не включать любые ошибки, уже эксплуатируемые в дикой природе (известные на жаргоне как нулевого дня) и не включайте ошибки с пометкой критический.
Возможно, наиболее значительным патчем является патч для CVE-2022-34479, под названием: Размер всплывающего окна можно изменить таким образом, чтобы адресная строка перекрывалась веб-контентом.
Эта ошибка позволяет вредоносному веб-сайту создать всплывающее окно, а затем изменить его размер, чтобы перезаписать собственную адресную строку браузера.
К счастью, эта ошибка подмены адресной строки применима только к Firefox в Linux; в других операционных системах ошибка, по-видимому, не может быть вызвана.
Как вы знаете, собственные визуальные компоненты браузера, включая строку меню, панель поиска, адресную строку, предупреждения системы безопасности, значок замка HTTPS и многое другое, должны быть защищены от манипуляций со стороны ненадежных веб-страниц, отображаемых браузером.
Эти священные компоненты пользовательского интерфейса известны на жаргоне как хром (от которого браузер Google получил свое название, если вам интересно).
Браузер Chrome запрещен для веб-страниц по понятным причинам — чтобы поддельные веб-сайты не выдавали себя за заслуживающие доверия.
Это означает, что, несмотря на то, что фишинговые сайты часто воспроизводят внешний вид законного веб-сайта с сверхъестественная точность, они не должны обмануть ваш браузер и представить их так, как если бы они были загружены с подлинного URL-адреса.
Параллельный обзор недавней аферы с южноафриканским банком
RCE на основе изображений
Любопытно, что исправления этого месяца включают в себя два CVES с одинаковым названием ошибки, допускающих одинаковое нарушение безопасности, хотя в остальном они никак не связаны и были обнаружены разными охотниками за ошибками.
CVE-2022-34482 и CVE-2022-34482 оба озаглавлены: Перетаскивание вредоносного изображения могло привести к выполнению вредоносного исполняемого файла и возможного кода.
Как следует из названия ошибки, эти недостатки означают, что файл изображения, который вы сохраняете на рабочем столе, перетаскивая его из Firefox, может в конечном итоге быть сохранен на диске с расширением, таким как .EXE вместо более невинного расширения, которое вы ожидали, например .PNG or .JPG.
Учитывая, что Windows досадно (и ошибочно, по нашему мнению) не показывает вам расширения файлов по умолчанию, эти ошибки Firefox могут привести к тому, что вы будете доверять файлу, который вы только что сбросили на рабочий стол, и, следовательно, откроете его, даже не подозревая об этом. истинного имени файла.
(Если вы сохраните файл более традиционными способами, такими как Щелкните правой кнопкой мыши > Сохранить изображение как…, отображается полное имя файла с расширением.)
Эти ошибки не являются настоящими уязвимостями удаленного выполнения кода (RCE), учитывая, что злоумышленнику нужно убедить вас сохранить контент с веб-страницы на ваш компьютер, а затем открыть его оттуда, но они делают гораздо более вероятным, что вы бы по ошибке запустили вредоносный файл.
Кроме того, мы настоятельно рекомендуем вам указать Windows показывать все расширения файлов, вместо того, чтобы тайно подавлять их, изменив Расширения имен файлов вариант в проводнике.
Исправления для Фоллины!
Большой плохой ошибкой Windows в прошлом месяце была Follina, правильно известный как CVE-2022-30190.
Follina была неприятным эксплойтом выполнения кода, с помощью которого злоумышленник мог отправить вам заминированный документ Microsoft Office, который ссылался на URL-адрес, начинающийся с символов ms-msdt:.
Затем этот документ будет автоматически запускать код PowerShell по выбору злоумышленника, даже если все, что вы сделали, это просмотр файла в проводнике с включенной панелью предварительного просмотра.
Firefox взвесил свои собственные дополнительные меры по смягчению последствий, по сути, «отвергнув» проприетарные схемы URL-адресов Microsoft, начиная с ms-msdt: и другие потенциально опасные имена, поэтому они больше даже не спрашивают вас, хотите ли вы обработать URL-адрес:
Ассоциация
ms-msdt,searchкачестваsearch-msпротоколы доставляют содержимое в приложения Microsoft, минуя браузер, когда пользователь принимает приглашение. В этих приложениях были известные уязвимости, эксплуатируемые в дикой природе (хотя мы не знаем ни об одной уязвимости, используемой через Firefox), поэтому в этом выпуске Firefox заблокировал эти протоколы, чтобы пользователь не предлагал их открыть.
Что делать?
Просто посетите Документи > О Firefox чтобы проверить, какая у вас версия — вы ищете 102.0.
Если вы в курсе, всплывающее окно сообщит вам об этом; если нет, всплывающее окно предложит запустить обновление для вас.
Если вы или ваша компания придерживаетесь версии расширенной поддержки Firefox (ESR), которая включает обновления функций только каждые несколько месяцев, но предоставляет обновления безопасности, когда это необходимо, вы ищете СОЭ 91.11.
Помните, что СОЭ 91.11 обозначает Firefox 91 с 11 обновлениями исправлений безопасности, и поскольку 91 + 11 = 102, вы можете легко сказать, что вы находитесь на уровне последней основной версии в том, что касается исправлений безопасности.
Пользователям Linux и BSD, которые установили Firefox через свой дистрибутив, необходимо проверить наличие необходимого обновления в своем дистрибутиве.
