فایرفاکس ۶۷٫۰٫۴ منتشر شد؛ موزیلا دومین آسیب‌پذیری روز-صفرم را وصله کرد

پس از وصله کردن یک آسیب‌پذیری بحرانی قابل بهره‌برداری موجود در فایرفاکس ۶۷٫۰٫۳، درحال‌حاضر موزیلا به میلیون‌ها کاربر خود درباره‌ی دومین آسیب‌پذیری روز-صفرم که مهاجمان از آن بهره‌برداری کرده‌اند، هشدار داده است.

مسأله‌ای (CVE-2019-11708) که به‌تازگی وصله شد یک آسیب‌پذیری sandbox escape است که درصورتی‌که با اشکال type confusion (CVE-2019-11707) همراه شود، به یک مهاجم راه دور اجازه می‌دهد تا تنها با متقاعد کردن قربانیان برای بازدید از یک وب‌گاه مخرب، کد دلخواه را در رایانه‌های آن‌ها اجرا کنند. سندباکس مرورگر، یک سازوکار امنیتی است که فرآیندهای شخص ثالث را جدا و محدود به مرورگر نگه می‌دارد و از آسیب زدن به سایر بخش‌های حساس سیستم عامل یک رایانه جلوگیری می‌کند.

موزیلا از مسأله‌ی اول از ماه آوریل و زمانی که یک پژوهش‌گر پروژه‌ی صفر گوگل آن را به این شرکت گزارش داد، اطلاع دارد اما از مسأله‌ی دوم و حملات مربوط به آن زمانی اطلاع یافت که مهاجمان بهره‌برداری از هر دو آسیب‌پذیری را با هدف قرار دادن کارکنان بستر کوین‌بیس و کاربران سایر شرکت‌های رمزارز آغاز کرده بودند.

کارشناس امنیت macOS، پاتریک واردِل نیز گزارشی منتشر کرد که بیان می‌کند یک پویش جداگانه علیه کاربران رمزارز از همان آسیب‌پذیری روز-صفرم فایرفاکس برای نصب یک بدافزار macOS در رایانه‌های هدف استفاده می‌کند. هنوز مشخص نیست که مهاجمان اولین آسیب‌پذیری را به‌طور مستقل و در زمانی که به موزیلا گزارش شده است، کشف کرده باشند و یا با روش‌های دیگر به اطلاعات گزارش این اشکال‌ها دست یافته باشند.

به هرحال، این شرکت، فایرفاکس نسخه‌ی ۶۷٫۰٫۴  و ESR 60.7.2 را منتشر کرده است که هر دو آسیب‌پذیری را رفع می‌کنند و از دست‌یابی مهاجمان راه دور به کنترل سیستم کاربران جلوگیری می‌کنند. اگرچه فایرفاکس آخرین به‌روزرسانی های موجود را به‌صورت خودکار نصب می‌کند، اما به کاربران توصیه می‌شود تا مطمئن شوند که از فایرفاکس ۶۷٫۰٫۴ یا نسخه‌ی جدیدتر آن استفاده می‌کنند. علاوه‌براین، مانند وصله‌ای که برای مسأله‌ی قبلی منتشر شد، پروژه‌ی  Tor به‌تازگی به‌روزرسانی دوم مرورگر وب خود را منتشر کرد که آسیب‌پذیری دوم را که فایرفاکس رفع کرده بود، وصله می‌کند.

منبع

 

پست‌های مشابه

Leave a Comment