فایرفاکس ۶۹ آسیب‌پذیری اجرای کد بحرانی را وصله می‌کند

موزیلا به‌تازگی فایرفاکس ۶۹ را با وصله‌هایی برای ۲۰ آسیب‌پذیری ازجمله یک اشکال اجرای کد با شدت بحرانی، منتشر کرده است. این مسأله در حقیقت زمانی به وجود می‌آید که فایرفاکس توسط برنامه‌ی دیگری راه‌اندازی شود و پارامترهای خط فرمان مربوط به ورود به درستی پاک‌سازی نشوند. این مسأله به‌طور عادی زمانی اتفاق خواهد افتاد که کاربر روی یک لینک در یک برنامه‌ی چت کلیک می‌کند.

مهاجمی که به دنبال بهره‌برداری از این آسیب‌پذیری است می‌تواند لینک‌های مخربی ایجاد کند که برای نوشتن یک فایل گزارش در یک مکان دلخواه مانند پوشه‌ی Startup ویندوز مورد استفاده قرار گیرد. این آسیب‌پذیری با شناسه‌ی CVE-2019-11751 ردیابی می‌شود و تنها فایرفاکس را در سیستم عامل‌های ویندوز تحت تأثیر قرار می‌دهد.

مرکز امنیت اینترنت (CIS) در یک مشاوره‌نامه بیان می‌کند که بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری، امکان اجرای کد دلخواه را فراهم می‌کند. بسته به امتیازات مربوط به کاربر، یک مهاجم می‌تواند برنامه‌هایی را نصب کند، داده‌ها را مشاهده کند یا تغییر دهد و یا حذف کند، یا حساب‌های جدیدی را با همه‌ی مجوزهای کاربری ایجاد کند. CIS همچنین بیان می‌کند که این آسیب‌پذیری‌ها خطر زیادی برای نهادهای دولتی و تجاری بزرگ و متوسط دارند، اما تنها در نهادهای دولتی و تجاری کوچک تأثیر متوسطی دارند.

فایرفاکس ۶۹ نیز ۱۱ آسیب‌پذیری با شدت بالا، ۵ اشکال با خطر متوسط و ۳ آسیب‌پذیری با شدت پایین را رفع می‌کند. مسائل با شدت بالایی که در این نسخه از مرورگر رفع شده‌اند، آسیب‌پذیری CVE-2019-11746 (یک آسیب‌پذیری استفاده پس از آزادسازی که هنگام دست‌کاری عناصر ویدئویی اتفاق می‌افتد)، CVE-2019-11744 (XSS که از برخی عناصر HTML ناشی می‌شود) و CVE-2019-11752 (یک آسیب‌پذیری استفاده پس از آزادسازی که در امکان حذف یک مقدار کلیدی IndexedDB و تلاش برای استخراج آن در زمان تبدیل وجود دارد) هستند.

سایر آسیب‌پذیری‌ها شامل نقض سیاست منبع یکسان (CVE-2019-11742) هستند که امکان سرقت تصاویر، دست‌کاری یک فایل و ارتقاء امتیاز در Mozila Maintenance Service (CVE-2019-11736) و ارتقاء امتیاز Mozila Maintenance Service در یک مکان نصب سفارشی فایرفاکس را فراهم می‌کند. موزیلا همچنین امکان فرار از یک جعبه‌ی شنی از طریق Firefox Sync (CVE-2019-9812) را رفع کرده است و addons.mozilla.org و accounts.firefox.com را در فرآیند خود ایزوله کرده است تا از دست‌کاری مخرب (CVE-2019-11741) جلوگیری کند.

مسائل با شدت بالایی که باقی مانده‌اند، اشکال‌های امنیت حافظه هستند که برخی از آن‌ها بر Firefox ESR 68.1 و Firefox ESR 68.1 و Firefox 60.9 تأثیر می‌گذارند و CVE-2019-11734 تنها فایرفاکس ۶۸ را تحت تأثیر قرار می‌دهد. آسیب‌پذیری‌هایی با شدت متوسط که در این نسخه از مرورگر رفع شده‌اند، CVE-2019-11743، CVE-2019-11748، CVE-2019-11749، CVE-2019-5849 و CVE-2019-11750 هستند. سه مسأله با شدت پایین نیز CVE-2019-11737، CVE-2019-11738 و CVE-2019-11747 هستند.

منبع

پست‌های مشابه

Leave a Comment