به گزارش آی تابناک : موزیلا Firefox 67.0.4 و Firefox ESR 60.7.2 را در دسترس کاربران قرار داده که با رفع هر دو آسیب پذیری اخیر این مرورگر همراه است. وصلههای جدید به طور خودکار دریافت و نصب میشوند اما امکان دریافت فایل نصب مجزا نیز وجود دارد.
آسیب پذیری اول که چند روز قبل برطرف شد، به مجرمین امکان اجرای کدهای دلخواه را از راه دور میداد. این آسیب پذیری توسط یکی از پژوهشگرهای پروژه Google Project Zero کشف و گزارش شده بود. اما این هفته تیم امنیتی وب سایت Coinbase آسیب پذیری دوم را به موزیلا گزارش کردهاند که در ترکیب با آسیب پذیری اول، برای هدف قرار دادن کارکنان این کمپانی مورد استفاده قرار گرفته بود.
موزیلا آسیب پذیری روز صفر اخیراً را از نوع Sandbox Escape دسته بندی کرده که به کدهای مخرب امکان عبور از پردازش امن Firefox و راه یابی به سیستم عامل را میدهد. این دو آسیب پذیری در ترکیب با یکدیگر این امکان را فراهم میکنند تا مجرمین بتوانند تنها از طریق بازدید کاربران از صفحات آلوده، کدهای دلخواه خود را بر روی سیستم آنها اجرا کنند.
تیم امنیتی Coinbase متوجه شده مجرمین برای کارکنان این کمپانی ایمیلهای حاوی یک لینک مخرب ارسال کردهاند که در صورت کلیک کردن بر روی آن در داخل مرورگر Firefox، اطلاعات سیستمهای آنها را به سرقت میبرده است. حمله کنندهها توانستهاند هر دو سیستم عامل ویندوز و Mac را با استفاده از بدافزارهای جداگانه هدف بگیرند.
جالب اینکه سیستمهای Mac در وجود آخرین وصلههای امنیتی نیز به لطف حفرههای Firefox به بدافزار آلوده شدهاند.