موزیلا جدیدترین نسخه از مرورگر فایرفاکس خود را راهاندازی کرده است. فایرفاکس 73 و فایرفاکس ESR 68.5 نقصهای امنیتی شدید را که امکان حمله توسط مهاجم از راه دور را فراهم مینمایند، رفع میکنند.
مرورگر فایرفاکس ESR نسخهی گسترشیافتهی پشتیبانی فایرفاکس است که برای استقرار گسترده طراحی شده است. هر دو نسخهی فایرفاکس، شش آسیبپذیری را برطرف میکنند. دو مورد از این اشکالات (CVE-2020-6800 و CVE-2020-6801) دارای شدت بالا هستند که به یک مهاجم راه دور اجازه میدهند تا با جلب کاربران برای بازدید از یک وبسایت خاص و استفاده از نقصهای فساد حافظهی مرورگر، کد را در دستگاههای هدف اجرا کند.
مکانیسمهای ایمنی حافظه، سیستمها را از اشکالات نرمافزاری متنوعی که به حافظه وصل هستند مانند سرریز بافر و سایر موارد، محافظت میکند. طبق تجزیه و تحلیلهای انجامشده، یک مهاجم راه دور میتواند با ترغیب یک قربانی به مراجعه به یک وبسایت دستکاریشده، از یکی از این آسیبپذیریها سوءاستفاده کند و سپس از «بردارهای حملهی ناشناخته» برای اجرای کد دلخواه روی سیستم آسیبپذیر استفاده کند یا باعث انکار سرویس (DoS) شود.
یکی دیگر از نقصهای شدید برطرفشده در فایرفاکس 73 (CVE-2020-6796) که دارای نمرهی 8.8 از 10 در مقیاس CVSS v3 است، از بررسی مرزهای از دسترفته (روشی برای تشخیص اینکه آیا یک متغیر قبل از استفاده دارای محدوده است یا خیر) در فرایند خواندن حافظهی مشترک درون فرایند والدین ناشی میشود.
بهگفتهی موزیلا، یک فرایند محتوا میتواند حافظهی اشتراکی را تغییر داده و باعث ایجاد نوشتن خارج از محدوده شود. این امر میتواند باعث فساد حافظه و خرابی قابل سوءاستفاده شود.
نقص دیگری (CVE-2020-6799) که با شدت متوسط توسط فایرفاکس 73 مورد بررسی قرار گرفته است، ناشی از خطایی هنگام بازکردن پیوندهای PDF از برنامههای دیگر است (هنگامی که فایرفاکس بهعنوان پیشفرض بازکنندهی PDF پیکربندی شده است). طبق گفتهی موزیلا، این نقص به مهاجم از راه دور اجازه میدهد تا با متقاعدکردن یک قربانی به بازدید از یک سایت دلخواه، یک کد دلخواه را اجرا کند یا یک DoS را انجام دهد.
سایر نقصهای با شدت متوسط شامل اشکالی هستند که یکی از آنها میتواند منجر به تزریق جاوا اسکریپت (CVE-2020-6798) شود و دیگری میتواند افزونههای راهاندازی یک برنامهی دلخواه در رایانههای قربانی (CVE-2020-6797) را اعطا کند.
کاربران میتوانند آخرین نسخهی فایرفاکس را از لینک زیر بارگیری کنند.
https://www.mozilla.org/en-GB/firefox/download/thanks/
بهروزرسانی ماه فوریهی فایرفاکس از ماه ژانویهی آن شدیدتر است و آسیبپذیریهای اساسی را که بهطور فعال در وب مورد بهرهبرداری قرار میگیرند، وصله میکند.
منبع :