نسخهی جدید مرورگر فایرفاکس (Mozilla Firefox 86) که در تاریخ پنجم اسفند ماه 1399 منتشر شده است با وصله شدن برخی آسیبپذیری های امنیتی و ارائه برخی ویژگیهای جدید جهت بهبود حریم خصوصی، همراه بوده است. به عنوان مثال در آسیبپذیریهای CVE-2021-23978 و CVE-2021-23979 به دلیل وجود ایراداتی در امنیت حافظه، مهاجم امکان اجرای کد دلخواه بر روی سیستمهایی که از نسخه وصله نشدهی فایرفاکس استفاده میکنند را خواهد داشت.
در این بین سه آسیبپذیری با شدت بالا وصله شده است که به شرح زیر است: (فایرفاکس تاکنون جزییات بیشتری از آسیبپذیریهای مورد بحث منتشر نکرده است).
CVE-2021-23968: این آسیبپذیری به نقض سیاست امنیت محتوا (CSP) مربوط میشود. اگر سیاست امنیت محتوا پیمایش frame را مسدود کند، آدرس کامل مقصد redirectی که در frame انجام شده، برخلاف URI اصلی frame، در گزارش تخلف ثبت میشود. این عملیات میتواند منجر به نشت اطلاعات حساسی که در این URIها وجود دارد، شود.
CVE-2021-23969: این آسیبپذیری به نقض پیشنویس سیاست امنیت محتوا W3C مربوط میشود که در آن، در برخی انواع redirect، فایرفاکس به اشتباه فایل منبع را بهعنوان مقصد redirectها قرار داده است.
CVE-2021-23970: این آسیبپذیری ناشی از شروع به کار برخی assertionها در یک کد چندنخی WASM (WebAssembly) است.
تعداد چهار آسیبپذیری با شدت متوسط و سه آسیبپذیری با شدت پایین نیز در این نسخه جدید وصله شده است. توصیه میگردد در اسرع وقت به بهروزرسانی این مرورگر اقدام نمایید.
منابع:
https://www.mozilla.org/en-US/security/advisories/mfsa2021-07
https://www.bleepingcomputer.com/news/software/firefox-86-gets-a-privacy-boost-with-total-cookie-pr…
- 50