کمیته رکن چهارم – موزیلا در یک بهروزرسانی جدید چند آسیبپذیری را در مرورگر فایرفاکس برطرف کرد.
موزیلا برای رفع تعدادی آسیبپذیری در مرورگر فایرفاکس خود، بهروزرسانی امنیتی منتشر کرد. این آسیبپذیریها دارای شدت بالا و متوسط بوده و مهاجم با بهرهبرداری از برخی از این آسیبپذیریها میتواند کنترل سیستم آسیبپذیر را در دست بگیرد.
جزییات آسیبپذیری
CVE-۲۰۲۲-۲۲۷۵۳: این آسیبپذیری با شدت بالا، امکان ارتقای سطح دسترسی به SYSTEM (بالاترین سطح دسترسی در سیستمهای ویندوزی) را برای مهاجم از طریق سرویس Maintenance در ویندوز فراهم میکند. در واقع، یک نقص “زمان بررسی تا زمان استفاده” در سرویس Maintenance (Updater) وجود دارد که میتواند به منظور اعطای دسترسیِ نوشتن در هر مسیر دلخواه، به کاربران، مورد سوءاستفاده قرارگیرد و این امر، دستیابی به سطح دسترسی SYSTEM را منجر خواهد شد. لازم به ذکر است که این آسیبپذیری تنها مرورگر فایرفاکس در ویندوز را تحت تأثیر قرار میدهد و سایر سیستمعاملها تحت تأثیر این آسیبپذیری قرار ندارند.
CVE-۲۰۲۲-۲۲۷۵۴: این آسیبپذیری با شدت بالا، امکان دور زدن فرآیندِ تأییدِ مجوز دسترسی را در هنگام بهروزرسانی، برای افزونهها فراهم میکند.
CVE-۲۰۲۲-۲۲۷۶۴: این آسیبپذیری با شدت بالا، اشکالات ایمنی حافظه را در برخی از نسخههای پیشین فایرفاکس موجب میشود. توسعهدهندگان و اعضای انجمن موزیلا، Paul Adenot و تیم Mozilla Fuzzing، نقصهای ایمنی حافظه را در Firefox ۹۶ و Firefox ESR ۹۱.۵ گزارش کردهاند.
CVE-۲۰۲۲-۲۲۷۵۵: این آسیبپذیری با شدت متوسط، موجب میشود که XSL امکان اجرای اسکریپت را پس از بسته شدن برگهی مرورگر (tab) فراهم کند.
CVE-۲۰۲۲-۲۲۷۵۶: این آسیبپذیری با شدت متوسط، موجب میشود که کشیدن و رها کردن یک تصویر، موجب تبدیل شدن آن به فایل اجرایی شود.
CVE-۲۰۲۲-۲۲۷۵۷: این آسیبپذیری با شدت متوسط، موجب میشود که Remote Agent نتواند مانع اتصال وبسایتهای محلی شود. Remote Agent به مصرفکنندگان اجازه میدهد تا از طریق مجموعهای از دامنهها به منظور بررسی وضعیت، کنترل اجرای اسناد در حال اجرا در محتوای وب، تزریق اسکریپتهای دلخواه به اسناد، شبیهسازی تعامل کاربر برای اهداف خودکار، مشترک شدن در بهروزرسانیهای مرورگر مانند گزارشهای شبکه و کنسول و غیره با فایرفاکس ارتباط برقرار کنند.
CVE-۲۰۲۲-۲۲۷۵۸: این آسیبپذیری با شدت متوسط، موجب میشود tel: linkها بتوانند کدهای USSD را برای شمارهگیرِ فایرفاکسِ اندروید ارسال کنند. این نقص فقط فایرفاکس نسخه اندروید را تحت تاثیر قرار میدهد و سایر سیستمعاملها تحت تأثیر قرار نمیگیرند.
CVE-۲۰۲۲-۲۲۷۵۹: این آسیبپذیری با شدت متوسط، موجب اجرای اسکریپت توسط Sandboxed iframeها میشود.
CVE-۲۰۲۲-۲۲۷۶۰: این آسیبپذیری با شدت متوسط، امکان تشخیص پاسخهای Cross-Origin را از بین انواع محتوای اسکریپتی و غیراسکریپتی فراهم میکند.
CVE-۲۰۲۲-۲۲۷۶۱: این آسیبپذیری با شدت متوسط، موجب میشود که تنظیمات frame-ancestors در دستورالعمل Content Security Policy، برای صفحات افزونهدارِ دارای چهارچوب اجرا نشود.
CVE-۲۰۲۲-۲۲۷۶۳: این آسیبپذیری با شدت متوسط، موجب اجرای اسکریپت در زمان بروز خطای invalid object state میشود.
تمام نسخههای قبل از Firefox ۹۷ و Firefox ESR ۹۱.۶ تحت تأثیر آسیبپذیریهای مذکور قرار دارند.
به کاربران و مدیران توصیه میشود هرچه سریعتر مرورگر فایرفاکس خود را به نسخه Firefox ۹۷ و یا Firefox ESR ۹۱.۶ بهروزرسانی کنند.
منبع : مرکز ماهر
