شرکت موزیلا (Mozilla, Corp) بروزرسانیهای اضطراری برای مرورگر وب Firefox خود منتشر کرده است تا دو آسیبپذیری امنیتی با تأثیر بالا را که به گفته این شرکت هر دو به طور فعال و گسترده توسط مهاجمان در حال سوءاستفاده میباشند، برطرف کند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده این آسیبپذیریها مورد بررسی قرار گرفته است.
این دو ضعف امنیتی “روز-صفر” دارای شناسههای CVE-2022-26485 و CVE-2022-26486 میباشند و مرتبط با مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) هستند و بر پردازش پارامتر Extensible Stylesheet Language Transformations – به اختصار XSTL – و بستر ارتباطاتی WebGPU IPC (WebGPU inter-process Communication – به اختصار IPC) تأثیر میگذارند.
XSLT یک زبان مبتنی بر XML است که برای تبدیل اسناد XML به صفحات وب یا اسناد PDF استفاده میشود، در حالی که WebGPU یک استاندارد وب جدید است که به عنوان جایگزین کتابخانه گرافیکی JavaScript فعلی WebGL معرفی شده است.
جزئیات آسیبپذیریهای ترمیم شده در مرورگر Firefox به شرح زیر است:
- CVE-2022-26485 : این ضعف امنیتی مربوط به حذف یک پارامتر XSLT در حین پردازش بوده که میتواند منجر به مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) شود.
- CVE-2022-26486 : یک پیام غیرمنتظره در بستر WebGPU IPC میتواند منجر به مشکلات آزادسازی فضای حافظه پس از استفاده از آن و بهرهجویی از طریق دورزدن جعبه شنی (sandbox) شود.
مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) که میتوانند به منظور خراب کردن دادههای معتبر و اجرای هر کد شانسی در سیستمهای آسیبپذیر شوند، عمدتاً از “سردرگمی در مورد اینکه کدام بخشی از برنامه مسئول آزاد کردن حافظه است” ناشی میشود.
این شرکت مواردی را مبنی بر سوءاستفاده از این ضعفهای امنیتی گزارش نموده اما هیچ اطلاعات فنی درباره نحوه ورود به سیستمها یا هویت مهاجمان منتشر نکرده است.
با این وجود، حملات هدفمند با بهرهجویی از ضعف امنیتی روز-صفر در Firefox در مقایسه با مرورگرهای Apple Safari و Google Chrome یک اتفاق نسبتاً نادر میباشد، موزیلا قبلاً سه آسیبپذیری روز-صفر را در سال 2020 و یک مورد را در سال 2019 برطرف کرده است.
با توجه به بهرهجویی گسترده از این ضعفهای امنیتی، به کاربران توصیه میشود در اسرع وقت نسخ خود را به Firefox 97.0.2 ،Firefox ESR 91.6.1 Firefox Android 97.3.0 ،Focus 97.3.0 و Thunderbird 91.6.2 ارتقاء دهند.
اطلاعات بیشتر درخصوص این بروزرسانیها در نشانیهای زیر قابل دریافت و مطالعه میباشد:
https://www.mozilla.org/en-US/security/advisories/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/
منبع:
https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html