نماد سایت اتاق خبر شبکه گستر

اصلاح فوری دو حفره امنیتی در مرورگر Firefox

شرکت موزیلا (Mozilla, Corp) بروزرسانی‌های اضطراری برای مرورگر وب Firefox خود منتشر کرده است تا دو آسیب‌پذیری امنیتی با تأثیر بالا را که به گفته این شرکت هر دو به طور فعال و گسترده توسط مهاجمان در حال سوءاستفاده می‌باشند، برطرف کند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده این آسیب‌پذیری‌ها مورد بررسی قرار گرفته است.

این دو ضعف‌ امنیتی “روز-صفر” دارای شناسه‌های CVE-2022-26485 و CVE-2022-26486 می‌باشند و مرتبط با مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) هستند و بر پردازش پارامتر Extensible Stylesheet Language Transformations – به اختصار XSTL – و بستر ارتباطاتی WebGPU IPC (WebGPU inter-process Communication – به اختصار IPC) تأثیر می‌گذارند.

XSLT یک زبان مبتنی بر XML است که برای تبدیل اسناد XML به صفحات وب یا اسناد PDF استفاده می‌شود، در حالی که WebGPU یک استاندارد وب جدید است که به عنوان جایگزین کتابخانه گرافیکی JavaScript فعلی WebGL معرفی شده است.

جزئیات آسیب‌پذیری‌های ترمیم شده در مرورگر Firefox به شرح زیر است:

مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) که می‌توانند به منظور خراب کردن داده‌های معتبر و اجرای هر کد شانسی در سیستم‌های آسیب‌پذیر شوند، عمدتاً از “سردرگمی در مورد اینکه کدام بخشی از برنامه مسئول آزاد کردن حافظه است” ناشی می‌شود.

این شرکت مواردی را مبنی بر سوءاستفاده از این ضعف‌های امنیتی گزارش نموده اما هیچ اطلاعات فنی درباره نحوه ورود به سیستم‌ها یا هویت مهاجمان منتشر نکرده است.

با این وجود، حملات هدفمند با بهره‌جویی از ضعف امنیتی روز-صفر در Firefox در مقایسه با مرورگرهای Apple Safari و Google Chrome یک اتفاق نسبتاً نادر می‌باشد، موزیلا قبلاً سه آسیب‌پذیری روز-صفر را در سال 2020 و یک مورد را در سال 2019 برطرف کرده است.

با توجه به بهره‌جویی گسترده از این ضعف‌های امنیتی، به کاربران توصیه می‌شود در اسرع وقت نسخ خود را به Firefox 97.0.2 ،Firefox ESR 91.6.1 Firefox Android 97.3.0 ،Focus 97.3.0 و Thunderbird 91.6.2 ارتقاء دهند.

اطلاعات بیشتر درخصوص این بروزرسانی‌ها در نشانی‌های زیر قابل دریافت و مطالعه می‌باشد:

https://www.mozilla.org/en-US/security/advisories/

https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/

 

منبع:

https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html

خروج از نسخه موبایل