اینترنت و شبکه

سیستم‌عامل و نرم‌افزار

فناوری اطلاعات

March 6, 2022
16:23 یکشنبه، 15ام اسفندماه 1400
کد خبر: 133970

موزیلا با یک آپدیت فوری دو آسیب‌پذیری خطرناک فایرفاکس را برطرف کرد

 
موزیلا به‌تازگی آپدیت جدیدی برای مرورگر فایرفاکس منتشر کرده که شامل ویژگی جدید و خاصی نیست، اما دو باگ خطرناک را برطرف می‌کند. به کاربران توصیه شده که هرچه سریع‌تر فایرفاکس v97.0.2 را نصب کنند، چون ظاهرا هکرها در حال استفاده از این دو آسیب‌پذیری هستند.
 
آپدیت جدید مرورگر موزیلا دو باگ روز صفر را برطرف می‌کند که هکرها در حال حاضر آن‌ها را هدف قرار داده‌اند. این شرکت در یادداشتی در این باره می‌گوید: «گزارش‌هایی به دست ما رسیده که از سوءاستفاده از این باگ‌ها خبر می‌دهند.» فعلا اطلاعات زیادی درباره این آسیب‌پذیری‌ها منتشر نشده و احتمالا چون موزیلا نمی‌خواهد مهاجمان به جنبه‌های فنی سوءاستفاده از باگ‌ها دسترسی پیدا کنند. با این حال جزئیات کمی درباره هر دو آسیب‌پذیری ارائه شده است.
 
شرح باگ‌های فایرفاکس
CVE-2022-26485 (آسیب‌پذیری Use-after-free در پردازش پارامتر XSLT): از این باگ در بخش «اجرای از راه دور کد» (RCE) استفاده شده، یعنی مهاجم بدون دسترسی به مجوز یا حسابی بر روی کامپیوتر قربانی می‌تواند کد مخرب مورد نظر خود را اجرا کند. برای انجام این کار فقط کافیست کاربر به یک وب‌سایت جعلی اما آلوده به بدافزار هدایت شود.
CVE-2022-26486 (آسیب‌پذیری Use-after-free در فریم‌ورک WebGPU IPC): این باگ بخشی از «گریز سندباکس» است. این دسته از ایرادات امنیتی می‌توانند به خودی خود یا در ترکیب با یک باگ RCE مورد سوءاستفاده قرار بگیرند تا بدافزار از دست تدابیر امنیتی مرورگر فرار کند.
فایرفاکس
هر دو باگ تحت عنوان آسیب‌پذیری Use-after-free معرفی شده‌اند. این عبارت در برنامه‌نویسی به اپلیکیشنی اشاره می‌کند که دسترسی به حافظه سیستم را متوقف می‌سازد و اساساً مقداری از حافظه را برای سایر اپلیکیشن‌ها آزاد می‌کند. ولی در برخی مواقع، اپلیکیشن‌ها همچنان به استفاده و مشغول نگه داشتن حافظه ادامه می‌دهند. این اتفاق بر عملکرد سایر برنامه‌هایی که خواستار استفاده از حافظه هستند، اثر می‌گذارد.
 
این مشکل می‌تواند موجب کرش برنامه‌ها شود و حتی گاهی اوقات داده‌های آن‌ها را تخریب کند. همچنین، مهاجمان می‌توانند از این دو آسیب‌پذیری برای اجرای کدهای غیرمجاز خود استفاده کنند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.