اگر جزو کاربرانی هستید که بر روی سیستمهای ویندوز، لینوکس و مک خود از مرورگر متنباز و رایگان فایرفاکس استفاده میکنید، اکیدا به شما توصیه میکنیم که هرچه سریعتر مرورگر خود را به آخرین نسخه از این برنامه بهروزرسانی کنید. آخرین نسخهی این مرورگر بر روی وبسایت شرکت موزیلا قابل دسترسی است. شرکت موزیلا به تازگی Firefox 72.0.1 و Firefox ESR 68.4.1 را منتشر کرده تا یک آسیبپذیری بحرانی روز-صفرم را وصله کند. گفته میشود یک گروه نفوذ ناشناس در دنیای واقعی، در حال بهرهبرداری از این آسیبپذیری هستند.
به این آسیبپذیری شناسهی CVE-2019-17026 اختصاص یافته و یک آسیبپذیری type confusion است که در کامپایلر IonMonkey just-in-time (JIT) ماشین جاوااسکریپت SpiderMonkey موزیلا وجود دارد. بهطور کلی آسیبپذیری type confusion زمانی رخ میدهد که کد مورد نظر، اشیائی را که دریافت میکند، اعتبارسنجی نکرده و کورکورانه و بدون بررسی کردن نوع آنها اجرا میکند. این آسیبپذیری به مهاجمان اجازه میدهد تا موجب crash برنامه شده و یا بر روی آن برنامه به قابلیت اجرای کد دست یابند.
جزئیاتی در خصوص این آسیبپذیری منتشر نشده و موزیلا اعلام کرده اطلاعات alias نادرست در کامپایلر IonMonkey که برای تنظیم المانهای آرایه مورد استفاده قرار میگیرد، منجر به بروز این آسیبپذیری شده است. در این صورت، این آسیبپذیری با ترغیب یک کاربر از همهجا بیخبر به بازدید از یک وبسایت مخرب، قابل بهرهبرداری بوده و مهاجم میتواند به اجرای کد بر روی سیستم قربانی دست یابد. این آسیبپذیری توسط گروه تحقیقاتی Qihoo 360 ATA به موزیلا گزارش شده و آنها نیز اطلاعاتی در خصوص آسیبپذیری و نحوهی بهرهبرداری ارائه نکردهاند. فایرفاکس بهطور خودکار بهروزرسانیها را بررسی کرده و نصب میکند، با این حال کاربران از مسیر Menu > Help > About Mozilla Firefox میتوانند بهطور دستی این مرورگر را بهروزرسانی کنند.
