در معرض حمله قرار گرفتن فایر فاکس، با کشف آسیب‌پذیری روزصفرم حیاتی در آن!

اگر از کاربران مرورگر محبوب فایرفاکس هستید، هوشیار باشید!

لزوم بروزرسانی فوری_هر چه سریعتر مرورگر فایرفاکس خود را به آخرین نسخه آپدیت نمایید.

چرا بروزرسانی فوری؟ فایرفاکس روز گذشته نسخه‌های Firefox 72.0.1 و Firefox ESR 68.4.1 را به منظور وصله نمودن یک آسیب‌پذیری حیاتی روزصفرم که مورد سوءاستفاده هکرها قرار گرفته بود، منتشر نمود.

این آسیب‌پذیری با شناسه CVE-2019-17026، در واقع باگ 'type confusion vulnerability' است که در کامپایلر  (JIT‏) IonMonkey just-in-time از موتور جاوااسکریپت SpiderMonkey موزیلا واقع شده است.

به طور کلی می‌توان گفت، آسیب‌پذیری type confusion زمانی منجر به رخداد می‌شود که کد برنامه تأیید نمی‌کند که چه آبجکت‌هایی منتقل شده است و بدون بررسی نوعِ (type) آن، کورکورانه از آن استفاده می‌کند. این امر منجر به از کار افتادن برنامه توسط مهاجمان و یا دستیابی به اجرای کد توسط آن‌ها می‌گردد.

موزیلا بدون انتشار جزییات امنیتی در رابطه با نقص مذکور و بدون اشاره به جزییات حملات سایبری بالقوه اظهار داشت: "اطلاعات غلط مربوط به نام‌های مستعار در کامپایلر IonMonkey JIT برای تنظیم عناصر آرایه می‌تواند منجر به type confusion شود."

این بدان معناست که، مشکل در جزء آسیب‌پذیر موتور جاوااسکریپت می‌تواند توسط یک مهاجم از راه دور، تنها با فریب کاربر برای بازدید از یک صفحه‌ی وب مخرب جهت اجرای کد دلخواه در بستر برنامه، مورد اکسپلویت قرار گیرد.

این آسیب‌پذیری توسط محققان امنیت سایبری در Qihoo 360 ATA به موزیلا گزارش شد. هنوز هیچ اطلاعاتی درباره تحقیقات، یافته‌ها و اکسپلویت‌های آن‌ها منتشر نشده است.

گرچه فایرفاکس، به صورت پیش‌فرض، می‌تواند به طور خودکار بروزرسانی‌ها را نصب کرده و پس از ریستارت برنامه نسخه جدید را فعال نماید، اما به صورت دستی نیز می‌توان بروزرسانی را انجام داد. مسیر بروزرسانی دستی به صرت زیر است:

Menu > Help > About Mozilla Firefox

 

منبع خبر: https://thehackernews.com/2020/01/firefox-cyberattack.html