انتشار فایرفاکس ۷۳ برای رفع آسیب‌های اجرای کد از راه دور

کمیته رکن چهارم – موزیلا در فایرفاکس ۷۳ و فایرفاکس ESR ۶۸.۵ نقص‌های امنیتی شدید ازجمله امکان حمله مهاجم از راه دور را برطرف کرد.

‫موزیلا جدیدترین نسخه‌ از مرورگر فایرفاکس خود را راه‌اندازی کرده است. فایرفاکس ۷۳ و فایرفاکس ESR ۶۸.۵ نقص‌های امنیتی شدید را که امکان حمله توسط مهاجم از راه دور را فراهم می‌نمایند، رفع می‌کنند.

مرورگر فایرفاکس ESRنسخه‌ی گسترش‌یافته‌ی پشتیبانی فایرفاکس است که برای استقرار گسترده طراحی شده است. هر دو نسخه‌ی فایرفاکس، شش آسیب‌پذیری را برطرف می‌کنند. دو مورد از این اشکالات (CVE-۲۰۲۰-۶۸۰۰ و CVE-۲۰۲۰-۶۸۰۱) دارای شدت بالا هستند که به یک مهاجم راه دور اجازه می‌دهند تا با جلب کاربران برای بازدید از یک وب‌سایت خاص و استفاده از نقص‌های فساد حافظه‌ی مرورگر، کد را در دستگاه‌های هدف اجرا کند.

مکانیسم‌های ایمنی حافظه‌، سیستم‌ها را از اشکالات نرم‌افزاری متنوعی که به حافظه وصل هستند مانند سرریز بافر و سایر موارد، محافظت می‌کند. طبق تجزیه و تحلیل‌های انجام‌شده، یک مهاجم راه دور می‌تواند با ترغیب یک قربانی به مراجعه به یک وب‌سایت دستکاری‌شده، از یکی از این آسیب‌پذیری‌ها سوءاستفاده کند و سپس از «بردارهای حمله‌ی ناشناخته» برای اجرای کد دلخواه روی سیستم آسیب‌پذیر استفاده کند یا باعث انکار سرویس (DoS) شود.

یکی دیگر از نقص‌های شدید برطرف‌شده در فایرفاکس ۷۳ (CVE-۲۰۲۰-۶۷۹۶) که دارای‌ نمره‌ی ۸.۸ از ۱۰ در مقیاس CVSS v۳ است، از بررسی مرزهای از دست‌رفته (روشی برای تشخیص اینکه آیا یک متغیر قبل از استفاده دارای محدوده است یا خیر) در فرایند خواندن حافظه‌ی مشترک درون فرایند والدین ناشی می‌شود.

به‌گفته‌ی موزیلا، یک فرایند محتوا می‌تواند حافظه‌ی اشتراکی را تغییر داده و باعث ایجاد نوشتن خارج از محدوده شود. این امر می‌تواند باعث فساد حافظه و خرابی قابل سوءاستفاده شود.

نقص دیگری (CVE-۲۰۲۰-۶۷۹۹) که با شدت متوسط توسط فایرفاکس ۷۳ مورد بررسی قرار گرفته است، ناشی از خطایی هنگام بازکردن پیوندهای PDF از برنامه‌های دیگر است (هنگامی که فایرفاکس به‌عنوان پیش‌فرض بازکننده‌ی PDF پیکربندی شده است). طبق گفته‌ی موزیلا، این نقص به مهاجم از راه دور اجازه می‌دهد تا با متقاعدکردن یک قربانی به بازدید از یک سایت دلخواه، یک کد دلخواه را اجرا کند یا یک DoS را انجام دهد.

سایر نقص‌های با شدت متوسط شامل اشکالی هستند که یکی از آن‌ها می‌تواند منجر به تزریق جاوا اسکریپت (CVE-۲۰۲۰-۶۷۹۸) شود و دیگری می‌تواند افزونه‌های راه‌اندازی یک برنامه‌ی دلخواه در رایانه‌های قربانی (CVE-۲۰۲۰-۶۷۹۷ ) را اعطا کند.

به‌روزرسانی ماه فوریه‌ فایرفاکس از ماه ژانویه‌ آن جدی‌تر است و آسیب‌پذیری‌های اساسی را که به‌طور فعال در وب مورد بهره‌برداری قرار می‌گیرند، وصله می‌کند. 

منبع: مرکز ماهر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.