در تمام نسخه‌های قبل از نسخه 5.10.0 نرم‌افزار Zoom Client for Meetings (برای سیستم‌عامل‌های Linux، iOS، Android، MacOS و Windows)، یک آسیب‌پذیری بحرانی (9.1 از 10) وجود دارد. در این آسیب‌پذیری کلاینت Zoom نمی‌تواند کوکی نشست (Session Cookies) را بدرستی به دامنه Zoom محدود نماید. این آسیب‌پذیری اجازه می‌دهد که کوکی موقت دامنه Zoom کاربران غیر مطلع به دامنه non–Zoom ارسال شود. این امر می‌تواند به شکل بالقوه به spoofing یک کاربر Zoom منجر شود.
 

برای رفع آسیب‌پذیری، کاربران می‌توانند آخرین نسخه نرم‌افزار Zoom را از لینک https://zoom.us/download دانلود نمایند.

منابع:

https://nvd.nist.gov/vuln/detail/CVE-2022-22785
https://www.cybersecurity-help.cz/vdb/SB2022052417

هکرها به طور فعالانه، آسیب‌پذیری روزصفر جدیدی را در نرم‌افزار Atlassian Confluence برای نصب web shellها مورد حمله و بهره‌برداری قرار داده‌اند که منجر به اجرای کد از راه دور می‌شود و برای اجرای حمله نیازی به احراز هویت ندارد. این آسیب‌پذیری با شناسه‌ی CVE-2022-26134، یک نقص بحرانیِ تزریق OGNL است که به کاربر احراز هویت نشده اجازه می‌دهد کد دلخواه خود را در Confluence Server و Data Center اجرا نماید. Atlassian در خصوص بهره‌برداری فعال این آسیب‌پذیری توسط مهاجمان هشدار داده است.

این آسیب‌پذیری‌ محصولات زیر را تحت تأثیر قرار می‌دهد:

• تمام نسخه‌های پشتیبانی‌شده‌ی Confluence Server و Data Center.
• Confluence Server و Data Center نسخه‌های بعد از 1.3.0.

آسیب‌پذیری‌ مذکور در نسخه‌های زیر برطرف شده‌ است، توصیه می‌شود کاربران هر چه سریع‌تر نرم‌افزارهای آسیب‌پذیرِ خود را به نسخه‌های زیر به‌روزرسانی کنند.

• 7.4.17
• 7.13.7
• 7.14.3
• 7.15.2
• 7.16.4
• 7.17.4
• 7.18.1

نکته: اگر Confluence در کلاستر اجرا می‌شود، بدون downtime (مدت زمانی که سرویس‌ها از دسترس خارج می‌شوند) ارتقاء به نسخه‌های اصلاح‌شده‌ی فوق امکان‌پذیر نیست. راهنمای ارتقاء به نسخه‌های به‌روزرسانی‌شده در صورت وجود کلاستر در لینک زیر آمده است:

https://confluence.atlassian.com/doc/upgrading-confluence-data-center-1507377.html

اگرچه اکیداً ارتقاء به نسخه‌های اصلاح‌شده توصیه می‌شود، اما چنانچه در حال حاضر امکان ارتقاء به نسخه‌های به‌روزرسانی‌شده وجود ندارد، می‌توان راهکارهای زیر را برای برخی از نسخه‌های خاص به عنوان یک راه‌حل موقت در نظر گرفت:

Confluence نسخه‌ی 7.18.0 - 7.15.0:
اگر Confluence در یک کلاستر اجرا می‌شود، باید این فرآیند در هر نود تکرار شود و برای اعمال آن، نیازی نیست کل کلاستر متوقف شود.

1. Confluence را متوقف کنید.

2. فایل زیر را در Confluence server دانلود کنید:

xwork-1.0.3-atlassian-10.jar

3. فایل JAR را در مسیر زیر حذف کرده و یا به خارج از پوشه‌ی نصب Confluence منتقل کنید:

/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

هشدار: کپی فایل JAR قدیمی را در پوشه نگه‌داری نکنید.

4. فایل xwork-1.0.3-atlassian-10.jar دانلودشده را در مسیر زیر کپی کنید:

/confluence/WEB-INF/lib/

5. مجوزها و مالکیت فایل xwork-1.0.3-atlassian-10.jar جدید را بررسی کنید که با فایل‌های موجود در همان پوشه مطابقت داشته باشد.

6. Confluence را راه‌اندازی کنید.

Confluence نسخه‌ی 7.14.2 - 7.0.0:

اگر Confluence در یک کلاستر اجرا می‌شود، باید این فرآیند در هر نود تکرار شود و برای اعمال آن، نیازی نیست کل کلاستر متوقف شود.

1. Confluence را متوقف کنید.

2. فایل‌های زیر را در Confluence server دانلود کنید:

xwork-1.0.3-atlassian-10.jar
webwork-2.1.5-atlassian-4.jar
CachedConfigurationProvider.class

3. فایل‌های JAR را در مسیرهای زیر حذف کرده و یا به خارج از پوشه‌ی نصب Confluence منتقل کنید:

/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

هشدار: کپی فایل‌های JAR قدیمی را در پوشه نگه‌داری نکنید.

4. فایل xwork-1.0.3-atlassian-10.jar دانلودشده را در مسیر زیر کپی کنید:

/confluence/WEB-INF/lib/

5. فایل webwork-2.1.5-atlassian-4.jar دانلودشده را در مسیر زیر کپی کنید:

/confluence/WEB-INF/lib/

6. مجوزها و مالکیت هر دو فایل جدید را بررسی کنید که با فایل‌های موجود در همان پوشه مطابقت داشته باشد.

7. به مسیر زیر بروید:

/confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup

   الف) یک پوشه‌ی جدید به نام webwork ایجاد کنید.
   ب) CachedConfigurationProvider.class را در مسیر زیر کپی کنید:

/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork

  ج) از مجوزها و مالکیت موارد زیر اطمینان حاصل کنید:

/confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class

8. Confluence را راه‌اندازی کنید.

منابع

[1]https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
[2]https://www.bleepingcomputer.com/news/security/critical-atlassian-confluence-zero-day-actively-used-in-attacks/

آسیب‌پذیری بسیار بحرانی در محصول Office شرکت مایکروسافت کشف شده که به مهاجم اجازه اجرای کد از راه دور را می‌دهد (RCE). این آسیب پذیری در تکنولوژی OLE Object وجود دارد و مهاجم تنها با قرار دادن فایل مخرب در یک فایل Word و ارسال آن برای مهاجم می تواند از آسیب پذیری به راحتی بهره برداری کند. واژه OLE Object مخفف Object Linking and Embedding یک فناوری طراحی شده توسط مایکروسافت است که به کاربر اجازه می‌دهد تا فایل‌ها و برنامه‌ها به صورت پویا در محصولات Office به یکدیگر پیوند دهید. به عنوان نمونه می‌توانید یک فایل Excel را با استفاده از OLE در یک سند Word جاسازی کنید و کافیست با دو بار کلیک کردن بر روی آن فایل Excel را باز کنید. علاوه بر این موارد پس از باز کردن فایل Excel شما می توانید محتوای آن را تغییر دهید. این فناوری محدود به جاسازی فایل های Excel در Word نیست و می‌توان دیگر موارد مانند MS Draw و برخی فایل‌های متنی دیگر را نیز به سند Word خود پیوند دهید.
شرکت مایکروسافت اقدام به انتشار توصیه‌نامه‌ای در خصوص این آسیب‌پذیری خطرناک روز-صفر CVE-2022-30190 کرد.
این آسیب‌پذیری، ضعفی از نوع «اجرای از راه دور کد» (RCE) است که Microsoft Diagnostic Tool یا به اختصار MSDT در تمامی نسخ Windows از آن متأثر می‌شود.
بر طبق توصیه‌نامه منتشرشده، فراخوانی MSDT از طریق URL توسط نرم‌افزاری همچون Word امکان اجرای از راه دور کد موردنظر مهاجم را با سطح دسترسی آن نرم‌افزار فراهم می‌کند.
چند روز قبل یکی از محققان در توییتی از شناسایی فایلی Word خبر داد که با اکسپلویت CVE-2022-30190 اقدام به اجرای فرامین PowerShell با استفاده از MSDT می‌کرد. محققان این آسیب‌پذیری را که در آن زمان هنوز شناسه‌ای به آن تخصیص داده نشده بود Follina نامگذاری کرده‌اند.

منابع:

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/31/microsoft-releases-workaround-guidance-msdt-follina-vulnerability
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190
https://github.com/chvancooten/follina.py

چندین آسیب‌پذیری در محصولات Mozilla Firefox، Firefox Extended Support Release (ESR) و Mozilla Thunderbird فایرفاکس کشف شده است که مهم‌ترین آن‌ها امکان اجرای کد دلخواه را برای مهاجم فراهم می‌کند. بسته به حق دسترسی‌های مرتبط با کاربر، مهاجم می‌تواند برنامه نصب کند، داده‌ها را مشاهده و آن‌ها را تغییر داده و حذف کند و یا حساب‌های کاربری با حق دسترسی کامل ایجاد نماید. کاربرانی که حساب‌هایشان به گونه‌ای پیکربندی شده است که حق دسترسی کمتری در سیستم دارند، نسبت به کاربرانی که با حق دسترسی مدیریتی کار می‌کنند، کمتر تحت تأثیر قرار خواهند گرفت.

• CVE-2022-31736: در این آسیب‌پذیری با شدت بالا، یک سایت مخرب می‌تواند اندازه‌ی منابع بین‌سایتی (cross-origin resource) را که از Range requests پشتیبانی می‌کنند به دست آورد.
• CVE-2022-31737: در این آسیب‌پذیری با شدت بالا، یک صفحه‌ی وب مخرب می‌تواند موجب نوشتن خارج از محدوده در WebGL شود که خرابی حافظه و از کار افتادن سیستم را منجر می‌شود.
• CVE-2022-31738: در این آسیب‌پذیری با شدت بالا، هنگام خروجِ مرورگر از حالت تمام صفحه، یک iframe ممکن است مرورگر را در مورد وضعیت fullscreen فعلی سردرگم کند که می‌تواند منجر به سردرگمیِ کاربر یا حملات spoofing شود.
• CVE-2022-31739: در این آسیب‌پذیری با شدت بالا، هنگام بارگیری فایل‌ها در ویندوز، کاراکتر % حذف نمی‌شود، که می‌تواند منجر به ذخیرهی اشتباه فایل‌های دانلودشده در مسیرهای تحت کنترل مهاجم شود که از متغیرهایی مانند %HOMEPATH% یا %APPDATA% استفاده می‌کند.
• CVE-2022-31740: در این آسیب‌پذیری با شدت بالا، کد WASM در arm64، می‌تواند موجب تولید اسمبلی نادرست شود که مشکلات تخصیص رجیستر و به صورت بالقوه crash قابل بهره‌برداری سیستم را منجر می‌شود.
• CVE-2022-31741: در این آسیب‌پذیری با شدت بالا، یک پیغام CMS ساختگی ممکن است به اشتباه پردازش شده و منجر به خواندن حافظه‌ی نامعتبر شود که می‌تواند به صورت بالقوه خرابی حافظه را به دنبال داشته باشد.
• CVE-2022-31747: این آسیب‌پذیری با شدت بالا در واقع نقص ایمنی حافظه در Firefox 100 و Firefox ESR 91.9 است. توسعه‌دهندگان موزیلا به نام‌های Andrew McCreight، Nicolas B. Pierron و تیم Mozilla Fuzzing این باگ‌ها را گزارش کردند. برخی از این باگ‌ها شواهدی از خرابی حافظه را نشان می‌دهند که با تلاش کافی می‌توان از برخی از آن‌ها برای اجرای کد دلخواه استفاده کرد.
• CVE-2022-31748: این آسیب‌پذیری با شدت بالا، در واقع نقص ایمنی حافظه در Firefox 100 است. توسعه‌دهندگان موزیلا به نام‌های Gabriele Svelto، Timothy Nikkel، Randell Jesup، Jon Coppeard و تیم Mozilla Fuzzing این باگ‌ها را گزارش کردند. برخی از این باگ‌ها شواهدی از خرابی حافظه را نشان می‌دهند که با تلاش کافی می‌توان از برخی از آن‌ها برای اجرای کد دلخواه استفاده کرد.
این آسیب‌پذیری‌ها محصولات زیر را تحت تأثیر قرار می‌دهند:
• Mozilla Firefox نسخه‌های قبل از 101.
• Firefox ESR نسخه‌های قبل از 91.10.
• Thunderbird نسخه‌های قبل از 91.10
آسیب‌پذیری‌های مذکور در نسخه‌های Mozilla Firefox 101، Firefox ESR 91.10 و Thunderbird 91.10 برطرف شده‌اند. به کاربران و مدیران توصیه می‌شود، هر چه سریع‌تر مرورگر فایرفاکس خود را به نسخه‌های جدید به‎‌روزرسانی نمایند.

منابع:

[1]https://www.mozilla.org/en-US/security/advisories/mfsa2022-20/
[2]https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-mozilla-products-could-allow-for-arbitrary-code-execution_2022-075

یک بات‌نت جدید مبتنی بر #‫لینوکس به نام Enemybot قابلیت‌های خود را گسترش داده است تا با سوءاستفاده از آسیب‌پذیری‌های امنیتی اخیراً فاش شده، سرورهای وب، دستگاه‌های اندروید و سیستم‌های مدیریت محتوا ( CMS) را مورد هدف قرار دهد. AT&T Alien Labs در گزارشی فنی که هفته گذشته منتشر شد، اذعان داشت این بدافزار به سرعت در حال استفاده از آسیب‌پذیری‌های یک روزه به عنوان بخشی از قابلیت‌های بهره‌برداری خود است. Enemybot اولین بار در ماه مارس توسط Securonix و بعداً توسط Fortinet فاش شد، این بات‌نت به یک عامل تهدید با نام Keksec (معروف به Kek Security، Necro و FreakOut) مرتبط است که با حملات اولیه خود، روترهای Seowon Intech، D-Link و iRZ را مورد هدف قرار می‌دهد. Enemybot که قادر به انجام حملات DDoS است، منشأ خود را از چندین بات‌نت دیگر مانند Mirai، Qbot، Zbot، Gafgyt و LolFMe می‌گیرد. بر اساس آخرین تجزیه و تحلیلها، این بات‌نت از چهار جزء مختلف تشکیل شده است:

• ماژول پایتون برای دانلود وابستگی‌ها و کامپایل بدافزار در معماری‌های مختلف سیستم‌عامل
• بخش هسته‌ی بات‌نت
• بخش مبهم طراحی شده برای رمزگذاری و رمزگشایی رشته‌های بدافزار
• بخش کنترل و فرمان برای دریافت دستورات حمله و واکشی پی‌لودهای اضافی

همچنین در این بات‌نت یک تابع اسکنر جدید گنجانده شده است که برای جستجوی آدرس‌های IP تصادفی که با منابع عمومی آسیب‌پذیری‌های احتمالی مرتبط هستند، مهندسی شده است. محققان با اشاره به عملکرد تابع جدید «adb_infect» در Enemybot، افزودند: در صورتی که دستگاه اندرویدی از طریق USB متصل باشد یا در صورت اجرای شبیه‌ساز اندرویدی بر روی دستگاه، EnemyBot سعی می‌کند با استفاده از یک دستور shell، آن را آلوده کند. در تصاویر زیر، جزئیات مربوطه به این بات‌نت منتشر شده است.
 

علاوه بر آسیب‌پذیری‌های Log4Shell که در دسامبر 2021 آشکار شد، آسیب‌پذیری‌های مورد سوءاستفاده در این بات‌نت شامل نقص‌هایی در روترهای Razer Sila (بدون CVE)، VMware Workspace ONE Access با شناسه " CVE-2022-2295" و F5 BIG-IP با شناسه "CVE-2022-1388" و همچنین نقص‌هایی در افزونه‌های وردپرس مانند Video Synchro PDF است که اخیراً وصله شده‌اند.

در جدول زیر به سایر آسیب‌پذیری‌های مورد استفاده اشاره می‌گردد:

علاوه براین‌ها، کد منبع بات نت در GitHub به اشتراک گذاشته شده است و به طور گسترده در دسترس سایر مهاجمان قرار دارد. در فایل README پروژه آمده است:" هیچ مسئولیتی در قبال آسیب‌های ناشی از این برنامه پذیرفته نمی‌شود". به گفته محققان: به نظر می‌رسد Keksec’s Enemybot در حال گسترش است اما به دلیل بروزرسانی سریع توسط عوامل آن، این بات‌نت پتانسیل آن را دارد که به یک تهدید بزرگ برای دستگاه‌های اینترنت اشیا و سرورهای وب تبدیل شود. این موضوع نشان می‌دهد که گروه Keksec از منابع خوبی برخوردار است و بدافزاری را توسعه داده است تا از آسیب‌پذیر‌ی‌ها قبل از وصله شدنشان استفاده کند، بنابراین سرعت و مقیاس گسترش آن افزایش می‌یابد.

محصولات تحت تاثیر

سرویس‌هایی مانند VMware Workspace ONE، Adobe ColdFusion، WordPress، PHP Scriptcase و موارد دیگر و همچنین دستگاه‌های IoT و Android مورد هدف این بات‌نت قرار گرفته‌اند.

منبع:

https://patabook.com/technology/2022/05/30/enemybot-linux-botnet-now-exploits-web-server-android-and-cms-vulnerabilities/

چهار آسیب‌پذیری در فریمورک‌ برنامه‌هایی که به صورت پیش فرض بر روی دستگاه‌های اندرویدی نصب شده‌اند، با میلیون‌ها بار دانلود، کشف شده است. این نقص‌های امنیتی با شناسه‌های CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 و CVE-2021-42601 و شدت‌های بین 7 و 8.9، می‌توانند به مهاجم اجازه دهند تا حملات خود را از راه دور و به صورت محلی انجام دهد و یا با دسترسی روت، اطلاعات حساس را به دست آورده و از این نقص‌ها سوء استفاده کند.
به گفته محققان تیم امنیتی Microsoft 365 Defender، بسیاری از برنامه‌هایی که به صورت پیش فرض بر روی دستگاه‌های اندرویدی نصف شده‌اند و از این فریمورک آسیب‌پذیر استفاده کرده‌اند، را نمی‌توان به طور کامل حذف یا بدون دسترسی روت به دستگاه، غیرفعال کرد. در تصاویر زیر، کدهای اکسپلویت این نقص امنیتی ارائه شده است.
 

گفتنی است که شرکت مایکروسافت لیست کامل برنامه‌هایی که از این چارچوب آسیب‌پذیر استفاده می‌کنند را فاش نکرده است. این فریمورک‌ مجوزهای دسترسی گسترده‌ای از جمله مجوزهای صوتی، دوربین، خاموش روشن کردن دستگاه، مکان‌یابی و مجوز دسترسی به داده‌ها و حافظه را دارد.

این آسیب‌پذیری برنامه‌های اندرویدی زیر را تحت تأثیر خود قرار می‌دهد:

• Mobile Klinik Device Checkup
• Device Help
• MyRogers
• Freedom Device Care
• Device Content Transfer

شرکت مایکروسافت به کاربران توصیه کرد که در دستگاه خود، بسته برنامه‌ی "com.mce.mceiotraceagent" را جستجو کرده و در صورت یافتن، آن را حذف کنند؛ زیرا ممکن است توسط تعمیرگاه‌های تلفن همراه، بر روی دستگاه شما نصب شده باشد.

منبع:

https://thehackernews.com/2022/05/microsoft-finds-critical-bugs-in-pre.html

Zyxel در یک توصیه‌ی امنیتی در خصوص آسیب‌پذیری‌هایی که طیف گسترده‌ای از محصولات firewall، AP و AP controller این شرکت را تحت تأثیر قرار می‌دهد به مدیران هشدار داد. اگرچه این آسیب‌پذیری‌ها دارای شدت بحرانی نیستند، اما باز هم به تنهایی قابل توجه بوده و می‌توانند به عنوان بخشی از زنجیره‌های اکسپلویت توسط مهاجمان مورد سوءاستفاده قرار گیرند. سازمان‌های بزرگی از محصولات Zyxel استفاده می‌کنند و هر گونه نقص قابل بهره‌برداری در این محصولات بلافاصله توجه مهاجمان را به خود جلب می‌کند.

جزئیات آسیب‌پذیری
این آسیب‌پذیری‌ها 4 مورد بوده و به شرح زیر می‌باشند:
CVE-2022-0734: آسیب‌پذیری cross-site scripting با شدت متوسط (5.8 از 10)، که در مؤلفه‌ی CGI وجود دارد و به مهاجمان اجازه می‌دهد از یک اسکریپت سرقت داده برای ربودن کوکی‌ها و توکن‌های نشستِ ذخیره‌شده در مرورگر کاربر استفاده کنند.
CVE-2022-26531: آسیب‌پذیری اعتبارسنجی نامناسب با شدت متوسط (6.1 از 10)، در برخی از دستورات CLI که به یک مهاجم احراز هویت‌شده‌ی محلی اجازه می‌دهد که موجب سرریز بافر یا از کار افتادن سیستم شود.
CVE-2022-26532: آسیب‌پذیری تزریق دستور با شدت بالا (7.8 از 10)، در برخی از دستورات CLI که به یک مهاجم احراز هویت‌شده‌ی محلی اجازه می‌دهد دستورات سیستم‌عامل دلخواه خود را اجرا نماید.
CVE-2022-0910: آسیب‌پذیری دور زدن احراز هویت با شدت متوسط (6.5 از 10) در مؤلفه‌ی CGI، که به مهاجم جازه می‌دهد تا از طریق یک IPsec VPN client احراز هویت دو مرحله‌ای را به یک مرحله‌ای تنزل دهد.

محصولات تحت تأثیر
آسیب‌پذیری‌های مذکور محصولات زیر را تحت تأثیر قرار می‌دهند:
 

توصیه‌های امنیتی
به‌روزرسانی‌هایی که Zyxel منتشر نموده است آسیب‌پذیری موجود در اکثر مدل‌های آسیب‌پذیر را برطرف می‌کند. با این وجود، مدیران باید از نماینده سرویس محلی خود برای AP controllerها hotfix درخواست کنند، زیرا این وصله‌ها برای عموم در دسترس نیستند. برای فایروال‌ها، USG/ZyWALL مشکلات مرتبط با میان‌افزارِ نسخه‌ی 4.72 را برطرف می‌کند، USG FLEX، ATP و VPN باید به ZLD نسخه‌ی 5.30 ارتقاء یابند و محصولات NSG وصله‌ی امنیتی را از طریق v1.33 patch 5 دریافت می‌کنند.
اگرچه این آسیب‌پذیری‌ها حیاتی نیستند، همچنان اکیداً توصیه می‌شود که مدیران شبکه دستگاه‌های خود را در اسرع وقت ارتقا دهند.

منبع:

https://www.zyxel.com/support/multiple-vulnerabilities-of-firewalls-AP-controllers-and-APs.shtml

موزیلا برای رفع تعدادی ‫آسیب‌پذیری روزصفر در چندین محصول خود که در مسابقه‌ی هک Pwn2Own Vancouver 2022 مورد بهره‌برداری قرار گرفته بودند، به‌روزرسانی امنیتی منتشر نمود. این آسیب‌پذیری‌ها دارای شدت بحرانی بوده و یک مهاجم با بهره‌برداری موفق از این آسیبپذیری‌ها می‌تواند امکان اجرای کدهای جاوااسکریپت مخرب را در دستگاه‌های موبایل و دسکتاپِ دارای نسخه‌ی آسیب‌پذیرِ فایرفاکس به دست آورد.

CVE-2022-1802: این آسیب‌پذیری با شدت بحرانی، یک نقص Prototype Pollution است که در پیاده‌سازی موتور جاوااسکریپت Top-Level Await وجود دارد و به واسطه‌ی ساختار ارث‌بریِ پیاده‌شده در این زبان یعنی Prototype-based inheritance به وجود آمده است. این آسیب‌پذیری به مهاجم اجازه می‌دهد متدهای یک شیء Array را با استفاده از prototype pollution در جاوااسکریپت خراب کرده و به اجرای کد دلخواه با سطح دسترسی بالا دست یابد.
CVE-2022-1529: این آسیب‌پذیری با شدت بحرانی، به مهاجمان اجازه می‌دهد تا در حملات prototype pollution، از اعتبارسنجی نامناسب ورودی در شاخص‌گذاری شیء جاوا، سوءاستفاده کنند. بدین صورت که مهاجم می‌تواند یک پیام به فرآیند (process) والد ارسال نماید، جایی که در آن، محتویات برای شاخص‌گذاری مضاعف (double-index) در یک شیء جاوااسکریپت مورد استفاده قرار می‌گیرند، که می‌تواند منجر به prototype pollution و در نهایت اجرای جاوااسکریپت تحت کنترل مهاجم در فرآیند والد که دارای حق دسترسی بالا است شود.
این آسیب‌پذیری‌ها محصولات Firefox، Firefox ESR، Firefox for Android و Thunderbird را تحت تأثیر قرار می‌دهند.

آسیب‌پذیری‌های مذکور در نسخه‌های Firefox 100.0.2، Firefox ESR 91.9.1، Firefox for Android 100.3 و Thunderbird 91.9.1 برطرف شده‌اند. به کاربران و مدیران توصیه می‌شود، هر چه سریع‌تر مرورگر فایرفاکس خود را به نسخه‌های جدید به‎‌روزرسانی نمایند.

منبع:

https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/#CVE-2022-1802
https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-thunderbird-zero-days-exploited-at-pwn2own/

اخیراً کارشناسان امنیتی HP Wolf Security، راه جدیدی را برای انتشار یک بدافزار با استفاده از پیوست‌های PDF از طریق اینترنت کشف کرده‌اند. در این حالت داکیومنت‌های ورد از طریق پیوست‌های PDF منتقل می‌شوند.

دریافت پیوست‌های مخرب ایمیل در فرمت PDF، بسیار نادر است زیرا اغلب ایمیل‌های مخرب به صورت فایل‌های docx یا xls همراه با ماکروهای بارگزاری بدافزار ارسال می‌شوند. با آگاهی مردم از خطر باز کردن پیوست‌های مایکروسافت آفیس حاوی ماکروهای مخرب، مهاجمان به روش‌های دیگری برای استقرار ماکروهای مخرب و فرار از شناسایی روی می‌آورند. (قرار دادن داکیومنت‌های مخرب ورد در فایل‌های PDF)
به نظر می‌رسد که محتوای داکیومنت PDF که از طریق ایمیل دریافت شده است حاوی وعده‌های جعلی است. درحالیکه این PDF، "Remittance Invoice" نام دارد و براساس عنوان و محتوای آن، به نظر می‌رسد دریافت کننده ایمیل مبلغی را دریافت خواهد کرد. فایل DOCX حاوی همان محتوای PDF است بنابراین Adobe Reader از کاربر می‌پرسد که فایل DOCX را باز کند یا خیر که این موضوع ممکن است برای قربانی گیج کننده باشد، چراکه درخواست تایید باز کردن فایل یا Open File از جانب Adobe Reader یک حس اطمینان را برای باز کردن فایل در کاربر ایجاد می‌کند. برخلاف کاربران عادی، تحلیل‌گران بدافزار از ابزارهایی مانند تجزیه کننده‌ها و اسکریپت‌ها برای بررسی فایل‌های قرار داده شده در PDFها استفاده می‌کنند.
یک فایل DOCX معمولا در اغلب موارد به جای برنامه‌های مختلف در قالب مایکروسافت ورد باز می‌شود. بنابراین اگر ماکروها فعال باشند، فایل‌های DOCX در Microsoft Word از یک منبع راه دور به فرمت RTF دانلود می‌شوند. در فایل ورد، به همراه URL جاییکه پی‌لود قرار دارد، دستوری تعبیه شده است که منجر به دانلود RTF می‌شود.

در این حمله، shellcode از آسیب‌پذیری "CVE-2017-11882" سوء‌استفاده می‌کند. علیرغم اینکه آسیب‌پذیری مذکور در نوامبر 2017 وصله شد اما Equation Editor هنوز یک آسیب‌پذیری کد از راه دور را نشان می‌دهد که در صورت حذف نشدن باید فوراً مورد بررسی قرار گیرد.

منبع:

https://gbhackers.com/pdf-malware-campaign

در تمام نسخه‌های سیستم مدیریت محتوا Craft (از ابتدا تا نسخه 3.7.36) یک آسیب‌پذیری با شدت بالا (8.8 از 10) وجود دارد. در این آسیب‌پذیری مهاجم احراز هویت نشده راه ‌دور که حداقل یک نام کاربری یا آدرس ایمیل معتبر در اختیار دارد، می‌تواند با اضافه نمودن فیلد X-Forwarded-Host به هدر درخواست HTPP و ارسال آن به آدرس:

/index.php?p=admin/actions/users/send-password-reset-email

با متد POST، عملکرد بخش "بازیابی رمزعبور" را تحت تأثیر قرار دهد.

این درخواست توسط سرور آسیب‌پذیر پردازش می‌شود و لینکی مخرب -حاوی هاست دلخواه مهاجم- برای بازیابی رمزعبور به آدرس ایمیل کاربر قربانی ارسال می‌گردد. در صورتی که کاربر این لینک را کلیک نماید، توکن معتبری به وب سرور مهاجم ارسال می‌شود و مهاجم از این طریق می‌تواند رمز عبور کاربر را بازیابی نماید.

پاسخ HTTP تولید شده در سرور آسیب‌پذیر:

ایمیل ارسال شده به کاربر:

منبع:

https://nvd.nist.gov/vuln/detail/CVE-2022-29933#range-7958376