آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در مرورگر فایرفاکس

آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در مرورگر فایرفاکس

تاریخ ایجاد

اخیراً چندین #‫آسیب‌پذیری در Mozilla Firefox و Firefox Extended support release(ESR) کشف شده است که شدیدترین آن‌ها ممکن است امکان اجرای کد دلخواه را داشته باشد. همانطور که می‌دانیم Mozilla Firefox یک مرورگر وب است اما Mozilla Firefox ESR نسخه‌ای از این مرورگر وب است که قرار است در سازمان‌های بزرگ مورد استفاده قرار گیرد. سوءاستفاده موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد کد دلخواه خود را در مرورگر سیستم قربانی اجرا کنند. بسته به دسترسی‌های داده شده به برنامه، مهاجم می‌تواند اقدام به نصب برنامه، بازدید یا تغییر در اطلاعات موجود یا حتی ایجاد حساب‌های کاربری جدید نماید. اگر در تنظیمات و پیکربندی به نکات امنیتی توجه شود، حتی سوءاستفاده از شدیدترین این آسیب‌پذیری‌ها نیز تأثیر کمتری را نسبت به حالت تنظیمات پیش‌فرض خواهد داشت.

در حال حاضر گزارشی در مورد بهره‌برداری از این آسیب‌پذیری‌ها منتشر نشده است.

سیستم‌های تأثیرپذیر:

  • irefox versions prior to 71
  • Firefox ESR versions prior to 68.3

جزئیات این آسیب‌پذیری‌ها به شرح زیر است:

  • سرریز بافر heapدر پردازش FEC در WebRTC با شناسه (CVE-2018-6156)
  • دسترسی خارج از محدوده NSSدر هنگام رمزگذاری با cipher block، (CVE-2019-11745)
  • استفاده پس از آزادسازی در SFTKSession (CVE-2019-11756)
  • عدم دسترسی مطلوب به پشته به دلیل مقداردهی نادرست پارامترها درکد (CVE-2019-13722) WebRTC
  • سرریز بافر در سریالایز کردن‌ متن آشکار (CVE-2019-17005)
  • استفاده پس از آزادسازی در تابع (CVE-2019-17008)
  • به‌روزرسانی موقت پرونده‌ها دارای مجوز دسترسی به فرآیندها (CVE-2019-17009)
  • استفاده‌ پس از آزادسازی هنگام اجرای orientation check (CVE-2019-17010)
  • استفاده‌ پس از آزادسازی هنگام بازیافت یک سند در antitracking (CVE-2019-17011)
  • برطرف شدن اشکالات امن‌سازی حافظه در فایرفاکس 71و فایرفاکس ESR 68.3(CVE-2019-17012)
  • برطرف شدن اشکالات امن‌سازی حافظه در فایرفاکس 71(CVE-2019-17013)
  • بر طرف شدن مشکل (drag and drop) یک منبع Cross-origin، که به طور اشتباه به عنوان تصویر بارگذاری شده است، که می‌تواند منجر‌به افشای اطلاعات شود. (CVE-2019-17014)

پیشنهادات:

توصیه می‌شود اقدامات زیر انجام شود:

  • به کاربران این مرورگر به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
  • برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح مجوز پایین (کاربری غیر از administrative) اجرا کنید.
  • به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
  • اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
  • رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLPیا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

منابع:

Mozilla:

https://www.mozilla.org/en-US/security/advisories/mfsa2019-36/
https://www.mozilla.org/en-US/security/advisories/mfsa2019-37/

CVE:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11745
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11756
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13722
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17005
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17008
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17009
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17010
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17011
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17012
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17013
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17014

برچسب‌ها
اخبار
  • 11