کشف چندین آسیب‌پذیری در FireFox‌ و ThunderBird

کشف چندین آسیب‌پذیری در FireFox‌ و ThunderBird

تاریخ ایجاد

محققان چندین آسیب‌پذیری با شدت‌های مختلف را در مرورگرهای Firefox و Thunderbird کشف کرده‌اند که ممکن است منجر به اجرای کد مخرب، افشای اطلاعات و حملات مختلف شوند. این آسیب‌پذیری‌ها که شامل نقص‌های مرتبط با مدیریت حافظه، پردازش رویدادهای داخلی مرورگر، و مشکلاتی در مکانیزم‌های امنیتی مرورگر می‌شوند، تهدیداتی جدی برای کاربران این برنامه‌ها به همراه دارند.
جزئیات هریک آسیب‌پذیری‌ها به شرح ذیل است:

آسیب‌پذیری با شناسه CVE-2024-8381 با شدت بحرانی و امتیاز CVSS 9.8، زمانی رخ می‌دهد که مرورگر برای یافتن یک ویژگی خاص در یک شیء (object) دچار نوعی خطا به نام Type Confusion می‌شود. این نقص می‌تواند به مهاجم این امکان را بدهد که کنترل سیستم را در دست گرفته و کد مخربی را اجرا کند.

آسیب‌پذیری با شناسه CVE-2024-8382 با شدت بالا و امتیاز CVSS 8.8 از افشای رابط‌های داخلی رویداد مرورگر به محتوای وب ناشی می‌شود. در این نقص، برخی از رویدادهای داخلی که نباید توسط محتوای وب قابل مشاهده باشند، در معرض دسترسی قرار می‌گیرند. به عنوان مثال، اگر کاربر ابزارهای توسعه‌دهنده را باز کند، این رویداد توسط یک اسکریپت مخرب قابل تشخیص می‌شود. اگرچه این به طور مستقیم به مهاجم اجازه اجرای کد مخرب نمی‌دهد، اما اطلاعاتی را درباره فعالیت‌های کاربر فاش می‌کند. مهاجم می‌تواند از این اطلاعات برای انجام حملات بعدی مانند فیشینگ یا دستکاری محتوای صفحه استفاده کند.

آسیب‌پذیری با شناسه CVE-2024-8383 و شدت بالا و امتیاز CVSS 7.5 زمانی رخ میدهد که علی ‌رغم اینکه مرورگر باید قبل از باز‌کردن یک برنامه جدید برای مدیریت برخی لینک‌های خاص (مثل لینک‌های Usenet) از کاربر تأیید بگیرد، هیچ تاییدیه‌ای از کاربر درخواست نمی‌شود. بنابراین، اگر مهاجم یک لینک خاص را به کاربر بفرستد و کاربر روی آن کلیک کند، برنامه‌ای که روی سیستم نصب شده ‌است بدون اطلاع کاربر اجرا می‌شود که همین مسئله می‌تواند به نصب بدافزارها یا دسترسی غیرمجاز به داده‌های سیستم منجر شود.
آسیب‌پذیری با شناسه CVE-2024-8384 و شدت بحرانی و امتیاز CVSS 9.8 زمانی رخ می‌دهد که جمع‌آوری زباله (Garbage Collector) در جاوا اسکریپت، که مسئول آزاد کردن حافظه‌های بلااستفاده است، به درستی عمل نمی‌کند. در شرایط کمبود منابع حافظه (Out-Of-Memory یا OOM)، اشیائی که به حافظه‌های مختلف سیستم مرتبط هستند، به درستی دسته‌بندی نمی‌شوند و تخصیص و مدیریت حافظه دچار اشتباه می‌شود. خطر این نقص زمانی بیشتر می‌شود که اشیای مربوط به یک محدوده امنیتی (compartment) به اشتباه در محدوده‌ای دیگر قرار بگیرند. اگر مهاجم بتواند از این نقص بهره‌برداری کند، می‌تواند با دسترسی به داده‌های حساس، حافظه سیستم را تغییر‌ داده و در نهایت کد مخرب را اجرا کند.

آسیب‌پذیری با شناسه CVE-2024-8385 با شدت CVSS 9.8 مربوط به تفاوت در مدیریت StructFields و ArrayTypes در WebAssembly است. WebAssembly یک فناوری است که به مرورگرها امکان اجرای کدهای باینری با کارایی بالا را می‌دهد. در این آسیب‌پذیری، یک نقص در نحوه پردازش داده‌ها در WebAssembly وجود دارد. مهاجم می‌تواند از این نقص استفاده کند تا کدهایی را با دسترسی‌های بالاتر از آنچه که باید باشند، اجرا کند. این کدهای مخرب می‌توانند باعث اجرای عملیات‌های غیرمجاز و در نهایت به خطر انداختن سیستم شوند.

آسیب‌پذیری با شناسه CVE-2024-8386 و شدت CVSS 6.1 به یک سایت مخرب با مجوز باز کردن پنجره‌های popUp اجازه می‌دهد با باز کردن پنجره‌های popUp یا نمایش عناصر خاص (مانند فهرست‌های کشویی) در بالای محتوای یک سایت دیگر، کاربر را فریب دهد که روی چیزی کلیک کند که به نظر او بخشی از سایت مورد اعتمادش است. به عنوان مثال، کاربر ممکن است فکر کند که روی دکمه‌ای برای ثبت اطلاعات شخصی خود کلیک می‌کند، در حالی که در واقع اطلاعات او به سایت مخرب ارسال می‌شوند.

آسیب‌‌‌پذیری با شناسه CVE-2024-8388 و شدت CVSS 5.3 در نسخه‌های اندروید Firefox رخ داده‌ است و به نحوه‌ی نمایش اعلان‌های ورود به حالت تمام‌صفحه (Fullscreen) مربوط می‌شود. به‌طور معمول، هنگامی که یک وب‌سایت تلاش می‌کند مرورگر را به حالت تمام‌صفحه ببرد، مرورگر موظف است اعلان واضحی به کاربر نمایش دهد تا او از این تغییر وضعیت آگاه شود. این اعلان در راستای حفظ امنیت کاربر طراحی شده و مانع از بروز حملات فیشینگ یا نمایش صفحات جعلی می‌شود. اما نقص موجود در این فرآیند، به این صورت است که اگر همزمان با این اعلان، پنجره‌ها یا پنل‌های دیگری نیز نمایش داده شوند، اعلان تمام‌صفحه ممکن است از دید کاربر پنهان بماند یا به‌درستی نمایش داده نشود. این اشتباه به مهاجمان فرصت می‌دهد تا با استفاده از حالت تمام‌صفحه، رابط کاربری مرورگر را به نحوی تغییر دهند که کاربر تصور کند با یک وب‌‌سایت معتبر تعامل می‌کند، در حالی که در واقع با یک وب‌سایت مخرب در حال تعامل است. به این ترتیب، مهاجم می‌تواند صفحه‌ای جعلی را به نمایش گذاشته و حملاتی از نوع جعل رابط کاربری (UI Spoofing) را اجرا کند.

آسیب‌پذیری‌ها با شناسه‌های CVE-2024-8387 و CVE-2024-8389 که هردو با شدت بحرانی CVSS 9.8 شناسایی شده‌اند، به برخی نواقص امنیتی مرتبط با مدیریت حافظه در نسخه‌های قدیمی‌تر مرورگر FireFox‌ و ThunderBird برمی‌گردند که ممکن است باعث خرابی حافظه شوند. این نقص‌ها می‌توانند توسط مهاجمین برای اجرای کدهای مخرب روی سیستم استفاده شوند.


محصولات آسیب‌‌پذیر
شناسه‌های:CVE-2024-8381، CVE-2024-8382، CVE-2024-8381 و CVE-2024-8387 نسخه‌های FireFox  قبل از130، Thunderbird قبل از 128.2 و FireFox ESR  قبل از 115.15  را تحت تاثیر قرار می‌دهند.
شناسه:CVE-2024-8383 نسخه‌های FireFox قبل از130 و FireFox ESR قبل از115.1  را تحت تاثیر قرار می‌دهد.
شناسه:CVE-2024-8385 و CVE-2024-8386 نسخه‌های FireFox قبل از130 و Thunderbird قبل از128.2  را تحت تاثیر قرار می‌دهند.
شناسه: CVE-2024-8388 نسخه‌های FireFox قبل از 130را فقط روی سیستم‌عامل اندروید تحت تاثیر قرار می‌دهد.
شناسه:CVE-2024-8389 نسخه‌های FireFox قبل از130 را تحت تاثیر قرار می‌دهد.
 

توصیه‌های امنیتی
برای جلوگیری از هرگونه بهره‌برداری از این آسیب‌پذیری‌ها، به‌‌روزرسانی هرچه سریعتر مرورگر Firefox و نرم‌افزار Thunderbird به نسخه‌های جدیدتر و همچنین، خودداری از دانلود نرم‌افزارها از منابع نامطمئن توصیه می‌گردد.

 

منابع خبر:

 

 

[1] https://www.mozilla.org/en-US/security/advisories/mfsa2024-39

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-8388