اصلاح فوری دو حفره امنیتی در مرورگر Firefox

شرکت موزیلا (Mozilla, Corp) بروزرسانی‌های اضطراری برای مرورگر وب Firefox خود منتشر کرده است تا دو آسیب‌پذیری امنیتی با تأثیر بالا را که به گفته این شرکت هر دو به طور فعال و گسترده توسط مهاجمان در حال سوءاستفاده می‌باشند، برطرف کند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده این آسیب‌پذیری‌ها مورد بررسی قرار گرفته است.

این دو ضعف‌ امنیتی “روز-صفر” دارای شناسه‌های CVE-2022-26485 و CVE-2022-26486 می‌باشند و مرتبط با مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) هستند و بر پردازش پارامتر Extensible Stylesheet Language Transformations – به اختصار XSTL – و بستر ارتباطاتی WebGPU IPC (WebGPU inter-process Communication – به اختصار IPC) تأثیر می‌گذارند.

XSLT یک زبان مبتنی بر XML است که برای تبدیل اسناد XML به صفحات وب یا اسناد PDF استفاده می‌شود، در حالی که WebGPU یک استاندارد وب جدید است که به عنوان جایگزین کتابخانه گرافیکی JavaScript فعلی WebGL معرفی شده است.

جزئیات آسیب‌پذیری‌های ترمیم شده در مرورگر Firefox به شرح زیر است:

  • CVE-2022-26485 : این ضعف امنیتی مربوط به حذف یک پارامتر XSLT در حین پردازش بوده که می‌تواند منجر به مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) شود.
  • CVE-2022-26486 : یک پیام غیرمنتظره در بستر WebGPU IPC می‌تواند منجر به مشکلات آزادسازی فضای حافظه پس از استفاده از آن و بهره‌جویی از طریق دورزدن جعبه شنی (sandbox) شود.

مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) که می‌توانند به منظور خراب کردن داده‌های معتبر و اجرای هر کد شانسی در سیستم‌های آسیب‌پذیر شوند، عمدتاً از “سردرگمی در مورد اینکه کدام بخشی از برنامه مسئول آزاد کردن حافظه است” ناشی می‌شود.

این شرکت مواردی را مبنی بر سوءاستفاده از این ضعف‌های امنیتی گزارش نموده اما هیچ اطلاعات فنی درباره نحوه ورود به سیستم‌ها یا هویت مهاجمان منتشر نکرده است.

با این وجود، حملات هدفمند با بهره‌جویی از ضعف امنیتی روز-صفر در Firefox در مقایسه با مرورگرهای Apple Safari و Google Chrome یک اتفاق نسبتاً نادر می‌باشد، موزیلا قبلاً سه آسیب‌پذیری روز-صفر را در سال 2020 و یک مورد را در سال 2019 برطرف کرده است.

با توجه به بهره‌جویی گسترده از این ضعف‌های امنیتی، به کاربران توصیه می‌شود در اسرع وقت نسخ خود را به Firefox 97.0.2 ،Firefox ESR 91.6.1 Firefox Android 97.3.0 ،Focus 97.3.0 و Thunderbird 91.6.2 ارتقاء دهند.

اطلاعات بیشتر درخصوص این بروزرسانی‌ها در نشانی‌های زیر قابل دریافت و مطالعه می‌باشد:

https://www.mozilla.org/en-US/security/advisories/

https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/

 

منبع:

https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *