انتشار firefox 73 برای رفع آسيب‌های اجرای کد از راه دور

موزیلا جدیدترین نسخه‌ از مرورگر فایرفاکس خود را راه‌اندازی کرده است. فایرفاکس 73 و فایرفاکس ESR 68.5 نقص‌های امنیتی شدید را که امکان حمله توسط مهاجم از راه دور را فراهم می‌نمایند، رفع می‌کنند.

مرورگر فایرفاکس ESR نسخه‌ی گسترش‌یافته‌ی پشتیبانی فایرفاکس است که برای استقرار گسترده طراحی شده است. هر دو نسخه‌ی فایرفاکس، شش آسیب‌پذیری را برطرف می‌کنند. دو مورد از این اشکالات (CVE-2020-6800 و CVE-2020-6801) دارای شدت بالا هستند که به یک مهاجم راه دور اجازه می‌دهند تا با جلب کاربران برای بازدید از یک وب‌سایت خاص و استفاده از نقص‌های فساد حافظه‌ی مرورگر، کد را در دستگاه‌های هدف اجرا کند.
مکانیسم‌های ایمنی حافظه‌، سیستم‌ها را از اشکالات نرم‌افزاری متنوعی که به حافظه وصل هستند مانند سرریز بافر و سایر موارد، محافظت می‌کند. طبق تجزیه و تحلیل‌های انجام‌شده، یک مهاجم راه دور می‌تواند با ترغیب یک قربانی به مراجعه به یک وب‌سایت دستکاری‌شده، از یکی از این آسیب‌پذیری‌ها سوءاستفاده کند و سپس از «بردارهای حمله‌ی ناشناخته» برای اجرای کد دلخواه روی سیستم آسیب‌پذیر استفاده کند یا باعث انکار سرویس (DoS) شود.
یکی دیگر از نقص‌های شدید برطرف‌شده در فایرفاکس 73 (CVE-2020-6796) که دارای‌ نمره‌ی 8.8 از 10 در مقیاس CVSS v3 است، از بررسی مرزهای از دست‌رفته (روشی برای تشخیص اینکه آیا یک متغیر قبل از استفاده دارای محدوده است یا خیر) در فرایند خواندن حافظه‌ی مشترک درون فرایند والدین ناشی می‌شود.
به‌گفته‌ی موزیلا، یک فرایند محتوا می‌تواند حافظه‌ی اشتراکی را تغییر داده و باعث ایجاد نوشتن خارج از محدوده شود. این امر می‌تواند باعث فساد حافظه و خرابی قابل سوءاستفاده شود.
نقص دیگری (CVE-2020-6799) که با شدت متوسط توسط فایرفاکس 73 مورد بررسی قرار گرفته است، ناشی از خطایی هنگام بازکردن پیوندهای PDF از برنامه‌های دیگر است (هنگامی که فایرفاکس به‌عنوان پیش‌فرض بازکننده‌ی PDF پیکربندی شده است). طبق گفته‌ی موزیلا، این نقص به مهاجم از راه دور اجازه می‌دهد تا با متقاعدکردن یک قربانی به بازدید از یک سایت دلخواه، یک کد دلخواه را اجرا کند یا یک DoS را انجام دهد.
سایر نقص‌های با شدت متوسط شامل اشکالی هستند که یکی از آن‌ها می‌تواند منجر به تزریق جاوا اسکریپت (CVE-2020-6798) شود و دیگری می‌تواند افزونه‌های راه‌اندازی یک برنامه‌ی دلخواه در رایانه‌های قربانی (CVE-2020-6797) را اعطا کند.

کاربران می‌توانند آخرین نسخه‌ی فایرفاکس را از لینک زیر بارگیری کنند.

https://www.mozilla.org/en-GB/firefox/download/thanks/

به‌روزرسانی ماه فوریه‌ی فایرفاکس از ماه ژانویه‌ی آن شدیدتر است و آسیب‌پذیری‌های اساسی را که به‌طور فعال در وب مورد بهره‌برداری قرار می‌گیرند، وصله می‌کند.

منبع :

مرکز ماهر