2 باگ جدید روز صفر موزیلا فایرفاکس تحت حمله فعال - مرورگر خود را در اسرع وقت به‌روزرسانی کنید! - مرکز پژوهشی آپا

موزیلا

موزیلا به‌روزرسانی‌های نرم‌افزاری out-of-band را در مرورگر وب فایرفاکس خود اعمال کرده است[۱] تا حاوی وصله‌هایی برای دو آسیب‌پذیری امنیتی با تأثیر بالا باشد که به گفته فایرفاکس هر دو به‌طور فعال در سطح اینترنت مورد بهره‌برداری قرار می‌گیرند.

این نقص‌های روز صفر که به‌عنوان CVE-2022-26485 و CVE-2022-26486 ردیابی می‌شوند، به‌عنوان مشکلات use-after-free توصیف شده‌اند[۲] که بر Extensible Stylesheet Language Transformationsیا XSLT و فریم‌ورک ارتباطات بین فرآیندی WebGPU یا همان IPC تأثیر می‌گذارند[۳-۵].

XSLT یک زبان مبتنی بر XML است که برای تبدیل اسناد XML به صفحات وب یا اسناد PDF استفاده می‌شود، درحالی‌که WebGPU یک استاندارد وب در حال ظهور است که به‌عنوان جانشین کتابخانه گرافیکی جاوا اسکریپت فعلی WebGL معرفی شده است.

شرح این دو نقص در زیر آمده است:

CVE-2022-26485 – حذف یک پارامتر XSLT در حین پردازش می‌تواند منجر به استفاده بدون استفاده قابل بهره‌برداری شود.

CVE-2022-26486 – یک پیام غیرمنتظره در چارچوب WebGPU IPC می‌تواند منجر به use-after-free و فرار sandbox قابل بهره‌برداری شود.

اشکالات Use-after-free: می‌توانند برای خراب کردن داده‌های معتبر و اجرای کد دلخواه در سیستم‌های در معرض خطر مورد بهره‌برداری قرار گیرند. عمدتاً از “گیج شدن در مورد اینکه کدام بخشی از برنامه مسئول آزاد کردن حافظه است” ناشی می‌شود.

موزیلا اذعان کرد که «ما گزارش‌هایی از حملات در سطح اینترنت داشته‌ایم» که این دو آسیب‌پذیری را مسلح می‌کنند، اما هیچ مشخصات فنی مرتبط با این نفوذها یا هویت بازیگران مخربی که از آن‌ها بهره‌برداری می‌کنند، به اشتراک نگذاشته است.

محققان امنیتی وانگ گانگ، لیو جیالی، دو سیهانگ، هوانگ یی و یانگ کانگ از Qihoo 360 ATA مسئول کشف و گزارش این نقص‌ها هستند.

درحالی‌که حملات هدفمند با اعمال‌نفوذ نقص روز صفر در فایرفاکس در مقایسه با Apple Safari وGoogle Chrome یک اتفاق نسبتاً نادر بوده است، موزیلا قبلاً سه نقص فعال در سال ۲۰۲۰ و یک نقص در سال ۲۰۱۹ را برطرف کرده است[۶-۸].

با توجه به بهره‌برداری فعال از این نقص‌ها، به کاربران توصیه می‌شود در اسرع وقت مرورگرهای خود را به فایرفاکس ۹۷٫۰٫۲، فایرفاکس ESR 91.6.1، فایرفاکس برای اندروید ۹۷٫۳٫۰، فوکوس ۹۷٫۳٫۰ و تاندربرد ۹۱٫۶٫۲ ارتقا دهند.

به‌روزرسانی: آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده (CISA) روز دوشنبه ۷ مارس ۲۰۲۲ دو آسیب‌پذیری روز صفر فایرفاکس را به همراه ۹ باگ دیگر به کاتالوگ آسیب‌پذیری‌های شناخته‌شده خود[۹] اضافه کرد[۱۰] که سازمان‌های فدرال را ملزم می‌کند تا این اصلاحات را تا ۲۱ مارس ۲۰۲۲ اعمال کنند.

منابع

[۱] https://www.mozilla.org/en-US/security/advisories/mfsa2022-09

[۲] https://cwe.mitre.org/data/definitions/416.html

[۳] https://developer.mozilla.org/en-US/docs/Web/XSLT

[۴] https://thehackernews.com/2022/01/your-graphics-card-fingerprint-can-be.html

[۵] https://en.wikipedia.org/wiki/Inter-process_communication

[۶] https://www.mozilla.org/en-US/security/advisories/mfsa2020-03

[۷] https://www.mozilla.org/en-US/security/advisories/mfsa2020-11

[۸] https://www.mozilla.org/en-US/security/advisories/mfsa2019-18

[۹] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[۱۰] https://www.cisa.gov/uscert/ncas/current-activity/2022/03/07/cisa-adds-11-known-exploited-vulnerabilities-catalog

[۱۱] https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html