اصلاح آسیب پذیری های با شدت بالا توسط فایرفاکس116

موزیلا از انتشار فایرفاکس ورژن 116، ESR 115.1 و ESR 102.14 خبر داد که شامل وصله هایی برای چندین آسیب پذیری با شدت بالا است. سازنده این مرورگر در مجموع ۱۴ آسیب پذیری را فهرست کرده است که ۹ مورد از آن‌ها دارای درجه با «شدت بالا» هستند و سه مورد از آن ها به اشکالات ایمنی حافظه در فایرفاکس اشاره دارند.

اولین مورد از ایرادات با شدت بالا، که با شناسه CVE-2023-4045 شناخته می‌شود دور زدن محدودیت‌های مبدأ متقاطع  (cross origin)است که این آسیب پذیری می تواند به صفحات وب اجازه دهد تا تصاویر نمایش داده شده در یک صفحه از یک سایت دیگر را مشاهده کنند. مرورگرها شامل یک خط مشی یکسان (same-origin policy) هستند که اجازه دسترسی کدهای HTML و جاوا اسکریپت یک وب سایت را به محتوای دیگر سایت ها نمی دهد. دومین آسیب پذیری با شدت بالا(با شناسه CVE-2023-4046) که فایرفاکس 116 وصله می کند به عنوان یک مقدار نادرست در طول کامپایل زبان WASM استفاده می شود. موزیلا خاطرنشان می کند: در برخی شرایط، یک stale value می‌توانست برای یک متغیر سراسری در تحلیل WASM JIT استفاده شود. که این منجر به کامپایل نادرست و یک آسیب پذیری بالقوه قابل بهره برداری در فرآیند محتوا می شود. به روز رسانی مرورگر، دور زدن درخواست مجوز از طریقclickjacking را حل می کند(آسیب پذیریCVE-2023-4047).Sophos خاطرنشان می‌کند: «مجوزهای بالقوه خطرناک، مانند دسترسی به موقعیت مکانی شما، ارسال اعلان‌ها، فعال کردن میکروفون و غیره، تا زمانی که یک هشدار واضح از خود مرورگر را مشاهده نکرده باشید ، داده نمی‌شوند.»

سه آسیب‌پذیری دیگر با شدت بالا که فایرفاکس 116 برطرف می‌کند عبارتند از CVE-2023-4048  که یک نقص خواندن خارج از محدوده است که باعث می شود DOMParser در هنگام ساختن یک فایل HTML دست‌کاری شده، از کار بیافتد. در آسیب پذیری CVE-2023-4049، Race Condition منجر به آسیب‌پذیری‌های بالقوه قابل بهره‌برداری پس از استفاده رایگان می‌شود، و در آسیب پذیری CVE-2023-4050، بافر پشته در StorageManager سرریز شده که به طور بالقوه منجر به sandbox escape می‌شود. باگ‌های ایمنی حافظه که در فایرفاکس 116 برطرف شده‌اند، به‌عنوان CVE-2023-4056، CVE-2023-4057، و CVE-2023-4058 شناخته می‌شوند که می‌توانند به اجرای کد دلخواه منجر شوند.

موزیلا می‌گوید بسیاری از این مشکلات با شدت بالا بر پشتیبانی گسترده فایرفاکس و تاندربرد تأثیر می‌گذارند که در فایرفاکس ESR 115.1، ESR 102.14، Thunderbird 115.1 و Thunderbird 102.14  بررسی شده‌اند.

موزیلا هیچ اشاره ای به سوء استفاده از این آسیب پذیری ها در حملات نمی کند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Set your categories menu in Header builder -> Mobile -> Mobile menu element -> Show/Hide -> Choose menu
سبد خرید