امنیت

فناوری اطلاعات

May 29, 2022
22:04 یکشنبه، 8ام خردادماه 1401
کد خبر: 136192

آسیب‌پذیری‌های بحرانی در مرورگر فایرفاکس

موزیلا برای رفع تعدادی #‫آسیب‌پذیری روزصفر در چندین محصول خود که در مسابقه‌ی هک Pwn2Own Vancouver 2022 مورد بهره‌برداری قرار گرفته بودند، به‌روزرسانی امنیتی منتشر نمود. این آسیب‌پذیری‌ها دارای شدت بحرانی بوده و یک مهاجم با بهره‌برداری موفق از این آسیبپذیری‌ها می‌تواند امکان اجرای کدهای جاوااسکریپت مخرب را در دستگاه‌های موبایل و دسکتاپِ دارای نسخه‌ی آسیب‌پذیرِ فایرفاکس به دست آورد.
 
CVE-2022-1802: این آسیب‌پذیری با شدت بحرانی، یک نقص Prototype Pollution است که در پیاده‌سازی موتور جاوااسکریپت Top-Level Await وجود دارد و به واسطه‌ی ساختار ارث‌بریِ پیاده‌شده در این زبان یعنی Prototype-based inheritance به وجود آمده است. این آسیب‌پذیری به مهاجم اجازه می‌دهد متدهای یک شیء Array را با استفاده از prototype pollution در جاوااسکریپت خراب کرده و به اجرای کد دلخواه با سطح دسترسی بالا دست یابد.
 
CVE-2022-1529: این آسیب‌پذیری با شدت بحرانی، به مهاجمان اجازه می‌دهد تا در حملات prototype pollution، از اعتبارسنجی نامناسب ورودی در شاخص‌گذاری شیء جاوا، سوءاستفاده کنند. بدین صورت که مهاجم می‌تواند یک پیام به فرآیند (process) والد ارسال نماید، جایی که در آن، محتویات برای شاخص‌گذاری مضاعف (double-index) در یک شیء جاوااسکریپت مورد استفاده قرار می‌گیرند، که می‌تواند منجر به prototype pollution و در نهایت اجرای جاوااسکریپت تحت کنترل مهاجم در فرآیند والد که دارای حق دسترسی بالا است شود.
 
این آسیب‌پذیری‌ها محصولات Firefox، Firefox ESR، Firefox for Android و Thunderbird را تحت تأثیر قرار می‌دهند.
 
آسیب‌پذیری‌های مذکور در نسخه‌های Firefox 100.0.2، Firefox ESR 91.9.1، Firefox for Android 100.3 و Thunderbird 91.9.1 برطرف شده‌اند. به کاربران و مدیران توصیه می‌شود، هر چه سریع‌تر مرورگر فایرفاکس خود را به نسخه‌های جدید به‎‌روزرسانی نمایند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.