در معرض حمله قرار گرفتن فایر فاکس، با کشف آسیبپذیری روزصفرم حیاتی در آن!
اگر از کاربران مرورگر محبوب فایرفاکس هستید، هوشیار باشید!
لزوم بروزرسانی فوری_هر چه سریعتر مرورگر فایرفاکس خود را به آخرین نسخه آپدیت نمایید.
چرا بروزرسانی فوری؟ فایرفاکس روز گذشته نسخههای Firefox 72.0.1 و Firefox ESR 68.4.1 را به منظور وصله نمودن یک آسیبپذیری حیاتی روزصفرم که مورد سوءاستفاده هکرها قرار گرفته بود، منتشر نمود.
این آسیبپذیری با شناسه CVE-2019-17026، در واقع باگ 'type confusion vulnerability' است که در کامپایلر (JIT) IonMonkey just-in-time از موتور جاوااسکریپت SpiderMonkey موزیلا واقع شده است.
به طور کلی میتوان گفت، آسیبپذیری type confusion زمانی منجر به رخداد میشود که کد برنامه تأیید نمیکند که چه آبجکتهایی منتقل شده است و بدون بررسی نوعِ (type) آن، کورکورانه از آن استفاده میکند. این امر منجر به از کار افتادن برنامه توسط مهاجمان و یا دستیابی به اجرای کد توسط آنها میگردد.
موزیلا بدون انتشار جزییات امنیتی در رابطه با نقص مذکور و بدون اشاره به جزییات حملات سایبری بالقوه اظهار داشت: "اطلاعات غلط مربوط به نامهای مستعار در کامپایلر IonMonkey JIT برای تنظیم عناصر آرایه میتواند منجر به type confusion شود."
این بدان معناست که، مشکل در جزء آسیبپذیر موتور جاوااسکریپت میتواند توسط یک مهاجم از راه دور، تنها با فریب کاربر برای بازدید از یک صفحهی وب مخرب جهت اجرای کد دلخواه در بستر برنامه، مورد اکسپلویت قرار گیرد.
این آسیبپذیری توسط محققان امنیت سایبری در Qihoo 360 ATA به موزیلا گزارش شد. هنوز هیچ اطلاعاتی درباره تحقیقات، یافتهها و اکسپلویتهای آنها منتشر نشده است.
گرچه فایرفاکس، به صورت پیشفرض، میتواند به طور خودکار بروزرسانیها را نصب کرده و پس از ریستارت برنامه نسخه جدید را فعال نماید، اما به صورت دستی نیز میتوان بروزرسانی را انجام داد. مسیر بروزرسانی دستی به صرت زیر است:
Menu > Help > About Mozilla Firefox
منبع خبر: https://thehackernews.com/2020/01/firefox-cyberattack.html