کمیته رکن چهارم – موزیلا برای رفع تعدادی آسیبپذیری روزصفر در چندین محصول خود بهروزرسانی امنیتی منتشر کرد.
موزیلا برای رفع تعدادی آسیبپذیری روزصفر در چندین محصول خود که در مسابقه هک Pwn۲Own Vancouver ۲۰۲۲ مورد بهرهبرداری قرار گرفته بودند بهروزرسانی امنیتی منتشر کرد.
این آسیبپذیریها دارای شدت بحرانی بوده و یک مهاجم با بهرهبرداری موفق از این آسیبپذیریها میتواند امکان اجرای کدهای جاوااسکریپت مخرب را در دستگاههای موبایل و دسکتاپِ دارای نسخهی آسیبپذیرِ فایرفاکس به دست آورد.
CVE-۲۰۲۲-۱۸۰۲: این آسیبپذیری با شدت بحرانی، یک نقص Prototype Pollution است که در پیادهسازی موتور جاوااسکریپت Top-Level Await وجود دارد و به واسطهی ساختار ارثبریِ پیادهشده در این زبان یعنی Prototype-based inheritance به وجود آمده است. این آسیبپذیری به مهاجم اجازه میدهد متدهای یک شیء Array را با استفاده از prototype pollution در جاوااسکریپت خراب کرده و به اجرای کد دلخواه با سطح دسترسی بالا دست یابد.
CVE-۲۰۲۲-۱۵۲۹: این آسیبپذیری با شدت بحرانی، به مهاجمان اجازه میدهد تا در حملات prototype pollution، از اعتبارسنجی نامناسب ورودی در شاخصگذاری شیء جاوا، سوءاستفاده کنند. بدین صورت که مهاجم میتواند یک پیام به فرآیند (process) والد ارسال نماید، جایی که در آن، محتویات برای شاخصگذاری مضاعف (double-index) در یک شیء جاوااسکریپت مورد استفاده قرار میگیرند، که میتواند منجر به prototype pollution و در نهایت اجرای جاوااسکریپت تحت کنترل مهاجم در فرآیند والد که دارای حق دسترسی بالا است شود.
این آسیبپذیریها محصولات Firefox، Firefox ESR، Firefox for Android و Thunderbird را تحت تأثیر قرار میدهند.
آسیبپذیریهای مذکور در نسخههای Firefox ۱۰۰.۰.۲، Firefox ESR ۹۱.۹.۱، Firefox for Android ۱۰۰.۳ و Thunderbird ۹۱.۹.۱ برطرف شدهاند. به کاربران و مدیران توصیه میشود، هر چه سریعتر مرورگر فایرفاکس خود را به نسخههای جدید بهروزرسانی کنند.
منبع : مرکز ماهر
