چاپ        ارسال به دوست

‫ آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در مرورگر فایرفاکس

اخیراً چندین آسیب‌پذیری در Mozilla Firefox و (Firefox Extended support release(ESR کشف شده است که شدیدترین آن‌ها ممکن است امکان اجرای کد دلخواه را داشته باشد. همانطور که می‌دانیم Mozilla Firefox یک مرورگر وب است اما Mozilla Firefox ESRنسخه‌ای از این مرورگر وب است که قرار است در سازمان‌های بزرگ مورد استفاده قرار گیرد. سوء استفاده موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد کد دلخواه خود را در مرورگر سیستم قربانی اجرا کنند. بسته به دسترسی‌های داده شده به برنامه، مهاجم می‌تواند اقدام به نصب برنامه، بازدید یا تغییر در اطلاعات موجود یا حتی ایجاد حساب‌های کاربری جدید نماید. اگر در تنظیمات و پیکربندی به نکات امنیتی توجه شود، حتی سوءاستفاده از شدیدترین این آسیب‌پذیری‌ها نیز تأثیر کمتری را نسبت به حالت تنظیمات پیش‌فرض خواهد داشت.

در حال حاضر گزارشی در مورد بهره‌برداری از این آسیب‌پذیری‌ها منتشر نشده است.

سیستم‌های تأثیرپذیر:

Firefox versions prior to ۷۱

Firefox ESR versions prior to ۶۸.۳

جزئیات این آسیب‌پذیری‌ها به شرح زیر است:

سرریز بافر heap در پردازش FEC در WebRTC با شناسه (CVE-۲۰۱۸-۶۱۵۶)

دسترسی خارج از محدوده NSSدر هنگام رمزگذاری با cipher block، (CVE-۲۰۱۹-۱۱۷۴۵)

استفاده پس از آزادسازی در SFTKSession (CVE-۲۰۱۹-۱۱۷۵۶)

عدم دسترسی مطلوب به پشته به دلیل مقداردهی نادرست پارامترها درکد (CVE-۲۰۱۹-۱۳۷۲۲) WebRTC

سرریز بافر در سریالایز کردن‌ متن آشکار (CVE-۲۰۱۹-۱۷۰۰۵)

استفاده پس از آزادسازی در تابع (CVE-۲۰۱۹-۱۷۰۰۸)

به‌روزرسانی موقت پرونده‌ها دارای مجوز دسترسی به فرآیندها (CVE-۲۰۱۹-۱۷۰۰۹)

استفاده‌ پس از آزادسازی هنگام اجرای orientation check (CVE-۲۰۱۹-۱۷۰۱۰)

استفاده‌ پس از آزادسازی هنگام بازیافت یک سند در antitracking (CVE-۲۰۱۹-۱۷۰۱۱)

برطرف شدن اشکالات امن‌سازی حافظه در فایرفاکس ۷۱و فایرفاکس ESR ۶۸.۳(CVE-۲۰۱۹-۱۷۰۱۲)

برطرف شدن اشکالات امن‌سازی حافظه در فایرفاکس ۷۱(CVE-۲۰۱۹-۱۷۰۱۳)

بر طرف شدن مشکل (drag and drop) یک منبع Cross-origin، که به طور اشتباه به عنوان تصویر بارگذاری شده است، که می‌تواند منجر‌به افشای اطلاعات شود. (CVE-۲۰۱۹-۱۷۰۱۴)

پیشنهادات:

توصیه می‌شود اقدامات زیر انجام شود:

• به کاربران این مرورگر به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.

• برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح مجوز پایین (کاربری غیر از administrative) اجرا کنید.

• به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.

• اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد

• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLPیا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها


١٦:٠٠ - شنبه ٢٣ آذر ١٣٩٨    /    شماره : ٢٤٥١٤    /    تعداد نمایش : ١٧٩



خروج