شرکت موزیلا، بهروزرسانیهای اضطراری برای مرورگر وب Firefox منتشر کرده است تا دو آسیبپذیری امنیتی با تأثیر بالا را برطرف کند که مهاجمان بهطور فعال و گسترده از آنها سوءاستفاده میکنند.
بهگزارش مرکز مدیریت راهبردی افتا، این دو ضعف امنیتی “روز-صفر” دارای شناسههای CVE-2022-26485 و CVE-2022-26486 هستند و با مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) مرتبط هستند و بر پردازش پارامتر Extensible Stylesheet Language Transformations – بهاختصار XSTL – و بستر ارتباطاتی WebGPU IPC (WebGPU inter-process Communication – بهاختصار IPC) تأثیر میگذارند.
XSLT یک زبان مبتنی بر XML است که برای تبدیل اسناد XML به صفحات وب یا اسناد PDF استفاده میشود، درحالیکه WebGPU یک استاندارد وب جدید است که بهعنوان جایگزین کتابخانه گرافیکی JavaScript فعلی WebGL معرفیشده است.
جزئیات آسیبپذیریهای ترمیمشده در مرورگر Firefox به شرح زیر است:
• CVE-2022-26485: این ضعف امنیتی مربوط به حذف یک پارامتر XSLT در حین پردازش بوده است که میتواند به مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) منجر شود.
• CVE-2022-26486: یک پیام غیرمنتظره در بستر WebGPU IPC میتواند به مشکلات آزادسازی فضای حافظه پس از استفاده از آن و بهرهجویی از طریق دور زدن جعبه شنی (sandbox) منجر شود.
مشکلات آزادسازی فضای حافظه پس از استفاده از آن (use-after-free-issues) که میتوانند بهمنظور خراب کردن دادههای معتبر و اجرای هر کد شانسی در سیستمهای آسیبپذیر شوند، عمدتاً از “سردرگمی در مورد اینکه کدام بخشی از برنامه مسئول آزاد کردن حافظه است” ناشی میشود.
این شرکت مواردی را مبنی بر سوءاستفاده از این ضعفهای امنیتی گزارش کرده اما هیچ اطلاعات فنی درباره نحوه ورود به سیستمها یا هویت مهاجمان منتشر نکرده است.
بااینوجود، حملات هدفمند با بهرهجویی از ضعف امنیتی روز – صفر در Firefox در مقایسه با مرورگرهای Apple Safari و Google Chrome یک اتفاق نسبتاً نادر است، موزیلا قبلاً سه آسیبپذیری روز – صفر را در سال 2020 و یک مورد را در سال 2019 برطرف کرده است.
باتوجهبه بهرهجویی گسترده از این ضعفهای امنیتی، به کاربران توصیه میشود دراسرعوقت نسخ Firefox خود را به Firefox 97.0.2، Firefox ESR 91.6.1، Firefox Android 97.3.0، Focus 97.3.0 و Thunderbird 91.6.2 ارتقاء دهند.
اطلاعات بیشتر در خصوص این بهروزرسانیها در نشانیهای زیر قابل دریافت و مطالعه است:
https://www.mozilla.org/en-US/security/advisories/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/
منبع:
https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html
https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2056/Staging/%D8%A7%D8%B5%D9%84%D8%A7%D8%AD-%D9%81%D9%88%D8%B1%DB%8C-%D8%AF%D9%88-%D8%AD%D9%81%D8%B1%D9%87-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D8%AF%D8%B1-%D9%85%D8%B1%D9%88%D8%B1%DA%AF%D8%B1-Firefox
(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)
دیدگاه شما