موزیلا با یک آپدیت فوری دو آسیبپذیری خطرناک فایرفاکس را برطرف کرد
موزیلا بهتازگی آپدیت جدیدی برای مرورگر فایرفاکس منتشر کرده که شامل ویژگی جدید و خاصی نیست، اما دو باگ خطرناک را برطرف میکند. به کاربران توصیه شده که هرچه سریعتر فایرفاکس v97.0.2 را نصب کنند، چون ظاهرا هکرها در حال استفاده از این دو آسیبپذیری هستند.
آپدیت جدید مرورگر موزیلا دو باگ روز صفر را برطرف میکند که هکرها در حال حاضر آنها را هدف قرار دادهاند. این شرکت در یادداشتی در این باره میگوید: «گزارشهایی به دست ما رسیده که از سوءاستفاده از این باگها خبر میدهند.» فعلا اطلاعات زیادی درباره این آسیبپذیریها منتشر نشده و احتمالا چون موزیلا نمیخواهد مهاجمان به جنبههای فنی سوءاستفاده از باگها دسترسی پیدا کنند. با این حال جزئیات کمی درباره هر دو آسیبپذیری ارائه شده است.
شرح باگهای فایرفاکس
CVE-2022-26485 (آسیبپذیری Use-after-free در پردازش پارامتر XSLT): از این باگ در بخش «اجرای از راه دور کد» (RCE) استفاده شده، یعنی مهاجم بدون دسترسی به مجوز یا حسابی بر روی کامپیوتر قربانی میتواند کد مخرب مورد نظر خود را اجرا کند. برای انجام این کار فقط کافیست کاربر به یک وبسایت جعلی اما آلوده به بدافزار هدایت شود.
CVE-2022-26486 (آسیبپذیری Use-after-free در فریمورک WebGPU IPC): این باگ بخشی از «گریز سندباکس» است. این دسته از ایرادات امنیتی میتوانند به خودی خود یا در ترکیب با یک باگ RCE مورد سوءاستفاده قرار بگیرند تا بدافزار از دست تدابیر امنیتی مرورگر فرار کند.
فایرفاکس
هر دو باگ تحت عنوان آسیبپذیری Use-after-free معرفی شدهاند. این عبارت در برنامهنویسی به اپلیکیشنی اشاره میکند که دسترسی به حافظه سیستم را متوقف میسازد و اساساً مقداری از حافظه را برای سایر اپلیکیشنها آزاد میکند. ولی در برخی مواقع، اپلیکیشنها همچنان به استفاده و مشغول نگه داشتن حافظه ادامه میدهند. این اتفاق بر عملکرد سایر برنامههایی که خواستار استفاده از حافظه هستند، اثر میگذارد.
این مشکل میتواند موجب کرش برنامهها شود و حتی گاهی اوقات دادههای آنها را تخریب کند. همچنین، مهاجمان میتوانند از این دو آسیبپذیری برای اجرای کدهای غیرمجاز خود استفاده کنند.