دو باگ جدید روز ‌صفرم فایرفاکس تحت حمله فعال – مرورگر خود را در اسرع وقت وصله کنید!

دسته بندی ها : آسیب پذیری, اخبار ۱۷ اسفند ۱۴۰۰ آپا دانشگاه تبریز 193 بازدید
مرورگر خود را در اسرع وقت وصله کنید!

فایرفاکس برای مهار دو آسیب‌پذیری امنیتی با تأثیر بالا، به‌روزرسانی‌های نرم‌افزاری خارج از محدوده را در مرورگر وب  خود منتشر کرده است. به گفته او هر دو آسیب‌پذیری به صورت فعال و غیرقابل کنترلی در حال اکسپلویت شدن هستنند.

نقص‌های روزصفرم که با ‌عنوان CVE-2022-26485 و CVE-2022-26486 شناخته می‌شوند، به‌عنوان مشکلات use-after-free توصیف شده‌اند که بر پارامتر پردازش XSLT (Extensible Stylesheet Language Transformations) و فریم ورک ارتباطات بین فرآیندی WebGPU  (IPC) تأثیر می‌گذارند.

XSLT یک زبان مبتنی بر XML است که برای تبدیل اسناد XML به صفحات وب یا اسناد PDF استفاده می‌شود، در حالی که WebGPU یک استاندارد وب در حال ظهور است که به عنوان جانشین کتابخانه گرافیکی WebGL JavaScript فعلی معرفی شده است.

شرح این دو نقص در زیر آمده است:

  • CVE-2022-26485 – حذف یک پارامتر XSLT در حین پردازش می‌تواند منجر به یک use-after-free قابل اکسپلویت شود.
  • CVE-2022-26486 – یک پیام غیرمنتظره در فریم‌ ورک WebGPU IPC می‌تواند منجر به use-after-free و اکسپلویت sandbox escape شود.

باگ‌های use-after-free – که برای خراب کردن داده‌های معتبر و اجرای کد دلخواه در سیستم‌های در معرض خطر اکسپلویت می‌شوند – عمدتاً ناشی از «سردرگمی در مورد این که کدام قسمت از برنامه مسئول آزاد کردن حافظه است» می‌باشند.

موزیلا اذعان کرد که «ما گزارش‌هایی از حملات غیر قابل کنترل داشته‌ایم» و وجود این دو آسیب‌پذیری را تایید کرد. اما هیچ مشخصات فنی مرتبط با نفوذها یا هویت عاملان مخربی که آن‌ها را اکسپلویت می‌کنند، به اشتراک نگذاشت.

محققان امنیتی Wang Gang، Liu Jialei، Du Sihang، Huang Yi و Yang Kang از Qihoo 360 ATA مسئول کشف و گزارش این ایرادات هستند.

در حالی که حملات هدفمند روز صفرم در فایرفاکس، در مقایسه با اپل سافاری و Google Chrome کمتر است، موزیلا قبلا سه نقص دارای اکسپلویت فعال را در سال ۲۰۲۰ و یک نقص در سال ۲۰۱۹ مورد توجه قرار داده است.

با توجه به اکسپلویت کردن فعال این نقص‌ها، به کاربران توصیه می‌شود در اسرع وقت مرورگر خود را به فایرفاکس ۹۷.۰.۲، فایرفاکس ESR 91.6.1، فایرفاکس برای اندروید ۹۷.۳.۰، فوکوس ۹۷.۳.۰ و تاندربرد ۹۱.۶.۲ ارتقا دهند.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) روز دوشنبه دو آسیب‌پذیری روز‌صفرم فایرفاکس را به همراه ۹ باگ دیگر به کاتالوگ آسیب‌پذیری‌های شناخته شده خود اضافه کرده، از سازمان‌های فدرال می‌خواهد تا اصلاحات را تا ۲۱ مارس ۲۰۲۲ اعمال کنند.

 

اخبار آسیب‌پذیری‌ها را از وبسایت آپا دانشگاه تبریز، بخش آسیبپذیری‌ها دنبال کنید.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :