سه شنبه 04 ارديبهشت 1403

خدمات دیجیتال بانک ایران زمین؛ تجربه ای متفاوت

آرشیو اخبار

روز
ماه
سال

شماره: 495086 تاریخ : 1398/09/23-14:53:02

,15,

فناوری اطلاعات و ارتباطات |

آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در مرورگر فایرفاکس

اخیراً چندین آسیب‌پذیری در Mozilla Firefoxو Firefox Extended support release(ESR) کشف شده است که شدیدترین آن‌ها ممکن است امکان اجرای کد دلخواه را داشته باشد. همانطور که می‌دانیم Mozilla Firefoxیک مرورگر وب است اما Mozilla Firefox ESR نسخه‌ای از این مرورگر وب است که قرار است در سازمان‌های بزرگ مورد استفاده قرار گیرد.

به گزارش پایگاه تحلیلی خبری بانک و صنعت به نقل از مرکز ماهر، سوءاستفاده موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد کد دلخواه خود را در مرورگر سیستم قربانی اجرا کنند. بسته به دسترسی‌های داده شده به برنامه، مهاجم می‌تواند اقدام به نصب برنامه، بازدید یا تغییر در اطلاعات موجود یا حتی ایجاد حساب‌های کاربری جدید نماید. اگر در تنظیمات و پیکربندی به نکات امنیتی توجه شود، حتی سوءاستفاده از شدیدترین این آسیب‌پذیری‌ها نیز تأثیر کمتری را نسبت به حالت تنظیمات پیش‌فرض خواهد داشت.

در حال حاضر گزارشی در مورد بهره‌برداری از این آسیب‌پذیری‌ها منتشر نشده است.

سیستم‌های تأثیرپذیر:

Firefox versions prior to 71
Firefox ESR versions prior to 68.3

جزئیات این آسیب‌پذیری‌ها به شرح زیر است:

سرریز بافر heapدر پردازش FEC در WebRTC با شناسه (CVE-2018-6156)
دسترسی خارج از محدوده NSSدر هنگام رمزگذاری با cipher block، (CVE-2019-11745)
استفاده پس از آزادسازی در SFTKSession (CVE-2019-11756)
عدم دسترسی مطلوب به پشته به دلیل مقداردهی نادرست پارامترها درکد (CVE-2019-13722) WebRTC
سرریز بافر در سریالایز کردن‌ متن آشکار (CVE-2019-17005)
استفاده پس از آزادسازی در تابع (CVE-2019-17008)
به‌روزرسانی موقت پرونده‌ها دارای مجوز دسترسی به فرآیندها (CVE-2019-17009)
استفاده‌ پس از آزادسازی هنگام اجرای orientation check (CVE-2019-17010)
استفاده‌ پس از آزادسازی هنگام بازیافت یک سند در antitracking (CVE-2019-17011)
برطرف شدن اشکالات امن‌سازی حافظه در فایرفاکس 71و فایرفاکس ESR 68.3(CVE-2019-17012)
برطرف شدن اشکالات امن‌سازی حافظه در فایرفاکس 71(CVE-2019-17013)
بر طرف شدن مشکل (drag and drop) یک منبع Cross-origin، که به طور اشتباه به عنوان تصویر بارگذاری شده است، که می‌تواند منجر‌به افشای اطلاعات شود. (CVE-2019-17014)

پیشنهادات:

توصیه می‌شود اقدامات زیر انجام شود:

• به کاربران این مرورگر به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.

• برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح مجوز پایین (کاربری غیر از administrative) اجرا کنید.

• به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.

• اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد

• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLPیا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

منابع:

موزیلا:

https://www.mozilla.org/en-US/security/advisories/mfsa2019-36/

https://www.mozilla.org/en-US/security/advisories/mfsa2019-37/

CVE:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11745
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11756

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13722

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17005

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17008

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17009

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17010

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17011

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17012

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17013

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17014

ارسال به دوستان با استفاده از:

نظر کاربران

نام و نام خانوادگی	*
ایمیل	* ایمیل نامعتبر است


نظر	*