شرکت موزیلا، به‌روزرسانی‌های اضطراری برای مرورگر وب Firefox منتشر کرده است تا دو آسیب‌پذیری امنیتی با تأثیر بالا را برطرف کند که مهاجمان به‌طور فعال و گسترده از آنها سوءاستفاده می‌کنند.

به‌گزارش مرکز مدیریت راهبردی افتا، این دو ضعف امنیتی “روز-صفر” دارای شناسه‌های CVE-2022-26485 و CVE-2022-26486 هستند و با مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) مرتبط هستند و بر پردازش پارامتر Extensible Stylesheet Language Transformations – به‌اختصار XSTL – و بستر ارتباطاتی WebGPU IPC (WebGPU inter-process Communication – به‌اختصار IPC) تأثیر می‌گذارند.
XSLT یک زبان مبتنی بر XML است که برای تبدیل اسناد XML به صفحات وب یا اسناد PDF استفاده می‌شود، درحالی‌که WebGPU یک استاندارد وب جدید است که به‌عنوان جایگزین کتابخانه گرافیکی JavaScript فعلی WebGL معرفی‌شده است.

جزئیات آسیب‌پذیری‌های ترمیم‌شده در مرورگر Firefox به شرح زیر است:

• CVE-2022-26485: این ضعف امنیتی مربوط به حذف یک پارامتر XSLT در حین پردازش بوده است که می‌تواند به مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) منجر شود.
• CVE-2022-26486: یک پیام غیرمنتظره در بستر WebGPU IPC می‌تواند به مشکلات آزادسازی فضای حافظه پس از استفاده از آن و بهره‌جویی از طریق دور زدن جعبه شنی (sandbox) منجر شود.
مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) که می‌توانند به‌منظور خراب کردن داده‌های معتبر و اجرای هر کد شانسی در سیستم‌های آسیب‌پذیر شوند، عمدتاً از “سردرگمی در مورد اینکه کدام بخشی از برنامه مسئول آزاد کردن حافظه است” ناشی می‌شود.
این شرکت مواردی را مبنی بر سوءاستفاده از این ضعف‌های امنیتی گزارش کرده اما هیچ اطلاعات فنی درباره نحوه ورود به سیستم‌ها یا هویت مهاجمان منتشر نکرده است.
بااین‌وجود، حملات هدفمند با بهره‌جویی از ضعف امنیتی روز – صفر در Firefox در مقایسه با مرورگرهای Apple Safari و Google Chrome یک اتفاق نسبتاً نادر است، موزیلا قبلاً سه آسیب‌پذیری روز – صفر را در سال 2020 و یک مورد را در سال 2019 برطرف کرده است.
باتوجه‌به بهره‌جویی گسترده از این ضعف‌های امنیتی، به کاربران توصیه می‌شود دراسرع‌وقت نسخ Firefox خود را به Firefox 97.0.2، Firefox ESR 91.6.1، Firefox Android 97.3.0، Focus 97.3.0 و Thunderbird 91.6.2 ارتقاء دهند.
اطلاعات بیشتر در خصوص این به‌روزرسانی‌ها در نشانی‌های زیر قابل دریافت و مطالعه است:

https://www.mozilla.org/en-US/security/advisories/

https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/

منبع:

https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2056/Staging/%D8%A7%D8%B5%D9%84%D8%A7%D8%AD-%D9%81%D9%88%D8%B1%DB%8C-%D8%AF%D9%88-%D8%AD%D9%81%D8%B1%D9%87-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D8%AF%D8%B1-%D9%85%D8%B1%D9%88%D8%B1%DA%AF%D8%B1-Firefox

(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)