ALLERTA PERICOLI INFORMATICI

Firefox corregge il difetto di falsificazione a schermo intero: scarica subito l’aggiornamento!

Firefox corregge il difetto di falsificazione a schermo intero: scarica subito l’aggiornamento!
Scritto da gestore

Allerta Pericoli Informatici sui Social :
allerta pericoli informatici su facebookallerta pericoli informatici su linkedinallerta pericoli informatici su twitterallerta pericoli informatici su pinterestallerta pericoli informatici su itunes podcast allerta pericoli informatici su telegramallerta pericoli informatici su google newsallerta pericoli informatici su flickr

APP 1 : Allerta Pericoli Informatici
Google Play
Apple Store
APP 2 : AiutamiSi ( tanti servizi gratuiti )
Google Play
Apple Store

È uscito l’ultimo aggiornamento di sicurezza di Firefox che porta il popolare browser alternativo alla versione 107.0 o Extended Support Release (ESR) 102.5

Il livello di gravità più alto è High , che si applica a sette diversi bug, quattro dei quali sono difetti di cattiva gestione della memoria che potrebbero portare a un arresto anomalo del programma, incluso CVE-2022-45407 , che un utente malintenzionato potrebbe sfruttare caricando un file di font.

La maggior parte dei bug relativi all’utilizzo dei file di caratteri sono causati dal fatto che i file di caratteri sono strutture di dati binari complesse e che esistono molti formati di file diversi che i prodotti dovrebbero supportare.

Intermezzo promozionale ... continua la lettura dopo il box:

Ciò significa che le vulnerabilità relative ai caratteri di solito implicano l’inserimento di un file di caratteri deliberatamente esplosivo nel browser in modo che vada storto nel tentativo di elaborarlo.

Ma questo bug è diverso, perché un utente malintenzionato potrebbe utilizzare un file di font legittimo e formato correttamente per attivare un arresto anomalo.

Il bug può essere attivato non dal contenuto ma dalla tempistica: quando due o più font vengono caricati contemporaneamente da thread di esecuzione in background separati, il browser potrebbe confondere i font che sta elaborando, inserendo potenzialmente il blocco di dati X dal font A nel spazio allocato per il blocco di dati Y dal carattere B e quindi danneggiando la memoria.

Mozilla lo descrive come un “crash potenzialmente sfruttabile” , anche se non vi è alcun suggerimento che qualcuno, per non parlare di un utente malintenzionato, abbia ancora capito come costruire un tale exploit.

Schermo intero considerato dannoso

Il bug più interessante, almeno a nostro avviso, è CVE-2022-45404 , descritto succintamente semplicemente come un “bypass delle notifiche a schermo intero” .

Se ti stai chiedendo perché un bug di questo tipo giustificherebbe un livello di gravità High , è perché dare il controllo su ogni pixel dello schermo a una finestra del browser che è popolata e controllata da HTML, CSS e JavaScript non attendibili…

…sarebbe sorprendentemente utile per qualsiasi infido operatore di siti web là fuori.

Abbiamo già scritto dei cosiddetti attacchi Browser-in-the-Browser , o BitB, in cui i criminali informatici creano un popup del browser che corrisponde all’aspetto di una finestra del sistema operativo, fornendo così un modo credibile per indurti a fidarti qualcosa come una richiesta di password facendola passare per un intervento di sicurezza da parte del sistema stesso:

Un modo per individuare i trucchi di BitB è provare a trascinare un popup di cui non sei sicuro fuori dalla finestra del browser.

Se il popup rimane racchiuso all’interno del browser, quindi non puoi spostarlo in un punto a sé stante sullo schermo, allora è ovviamente solo una parte della pagina web che stai guardando, piuttosto che un vero e proprio popup generato dal sistema si.

Ma se una pagina Web di contenuto esterno può occupare automaticamente l’intero display senza provocare un avviso in anticipo, potresti benissimo non renderti conto che nulla di ciò che vedi può essere attendibile , non importa quanto realistico sembri.

I truffatori subdoli, ad esempio, potrebbero dipingere un finto popup del sistema operativo all’interno di una finta finestra del browser, in modo che tu possa effettivamente trascinare la finestra di dialogo “sistema” ovunque sullo schermo e convincerti che fosse il vero affare.

Oppure i truffatori potrebbero mostrare deliberatamente l’ultimo sfondo pittorico (una di quelle immagini Ti piace quello che vedi? ) scelto da Windows per la schermata di accesso, fornendo così una misura della familiarità visiva, e quindi indurti a pensare di aver bloccato inavvertitamente lo schermo e aveva bisogno di riautenticarsi per rientrare.

Cosa fare?

Verifica di essere aggiornato, il che è semplice su un laptop o un computer desktop: Aiuto > Informazioni su Firefox (o Menu Apple > Informazioni su ) farà il trucco, aprendo una finestra di dialogo che ti dice se sei aggiornato o meno e offrendoti di ottenere l’ultima versione se ce n’è una nuova che non hai ancora scaricato.

Sui dispositivi mobili, verifica con l’app il marketplace software che utilizzi (ad es . Google Play su Android e Apple App Store su iOS) per gli aggiornamenti.

(Su Linux e BSD, potresti avere una build di Firefox fornita dalla tua distribuzione; in tal caso, controlla con il tuo manutentore della distribuzione per l’ultima versione.)

Ricorda, anche se hai attivato l’aggiornamento automatico e di solito funziona in modo affidabile, vale comunque la pena controllare, dato che bastano pochi secondi per assicurarsi che nulla sia andato storto e ti abbia lasciato senza protezione.

Fonte : https://nakedsecurity.sophos.com/

Rss Feeds:

Pubblica anteprima dei nostri articoli sul tuo sito :

  Inserisci questo codice per mostrare anteprima dei nostri articoli nel tuo sito e proteggi i tuoi navigatori dai rischi informatici

Alcuni dei Nostri Servizi più richiesti :

Copia Autentica Pagina Web

Copia Autentica Pagina Web

Il nostro studio fornisce un servizio professionale di autenticazione o copia conforme con valore legale di una pagina web o di una pagina di un social network per ogni tipo di contenuto ( testi, immagini, commenti, video, audio, tag ... ) che viene acquisito in modalità forense.

MONITORAGGIO DELLA REPUTAZIONE ONLINE PERSONALE E AZIENDALE

La nostra società è in grado di offrirvi il Migliore Servizio di Monitoraggio sul web per tutelare la vostra reputazione personale e/o aziendale.

Denuncia per diffamazione su internet o sui social

Il nostro studio fornisce un servizio professionale di supporto e raccolta di prove informatiche con valore legale per effettuare una denuncia per diffamazione su internet o sui social network

Estorsione o ricatto sessuale online : cosa fare e cosa non fare

Il nostro studio fornisce un servizio professionale con assistenza legale nei casi di estersione o ricatti online

Servizio professionale per la rimozione di recensioni negative

Il nostro studio fornisce un servizio professionale anche di supporto legale per la rimozioni di recensioni online negative, offensive o comunque inappropriate (recensioni negative su tripadvisor, google ...)

Certificazione Chat WhatsApp anche da Remoto

La certificazione di una chat WhatsApp che conferisce ad un messaggio ricevuto il valore di una prova legale, può essere eseguita anche da remoto da uno studio di informatica forense ( ricordiamo che uno screenshot non è ritenuto una prova valida ai fini legali ).