موزیلا درمجموع ۱۴ آسیبپذیری را وصله کرده است. در این میان یکی از آنها که با انتشار فایرفاکس ۴۶ رفع شده، بحرانی و با شدت بسیار بالا ردهبندیشده است.
نسخه ۴۶ از فایرفاکس علاوه بر این آسیبپذیری بحرانی، چهار آسیبپذیری دیگر با شدت بالا را برطرف کرد که شامل اشکالات ایمنی حافظه بودند و بر موتور مرورگر تأثیر میگذاشتند. این حفرهها که توسط توسعهدهندگان موزیلا کشف شدند، میتوانند موجب ازکارافتادن نرمافزار شده و در برخی شرایط امکان اجرای کدی دلخواه را برای مهاجم فراهم نمایند.
شاخصههای CVE زیر به این آسیبپذیریهای حیاتی تخصیص دادهشدهاند: CVE-2016-2804،CVE-2016-2805،, CVE-2016-2806 CVE-2016-2807.
از پنج حفرهای که با شدت بالا رتبهبندی شده و در آخرین نسخه منتشره فایرفاکس برطرف شدهاند، یکی از آنها بهوسیله گروه امنیت ارتباطات الکترونیک CESG به موزیلا گزارش شد که یک بازوی امنیت اطلاعات متعلق به ستاد ارتباطات دولت انگلستان (GCHQ) است.
موزیلا در متن مشاوره خود گفته است: «GESG گزارش داده است که متد جاوا اسکریپت watch میتواند برای سرریز محاسبه نسل ۳۲ بیتی HashMap استفاده شود که منجر به نوشته شدن یک ورودی نامعتبر خواهد شد».
در شرایط خاص، ممکن است که از آسیبپذیری CVE-2016-2808 برای اجرای کد دلخواه استفاده شود، اما موزیلا خاطرنشان میکند که یک مهاجم برای اینکه بتواند این سرریز بافر را انجام دهد باید قربانی را وادار به باز کردن یک صفحه آلوده برای مدتزمان خاصی کند.
ساشا جاست یک محقق امنیتی نیز به گزارش یک آسیبپذیری دیگر با شدت بالا پرداخته که میتواند از طریق محتوای دستکاریشدهی آلوده در شبکه مورد بهرهبرداری قرار گیرد و موجب ازکارافتادن برنامه بهمنظور بهرهبرداری از آن شود. این ضعف با شناسه libstagefright ردیابی شده و موجب میشود که کتابخانه libstagefright دچار سرریز بافر شود.
یک آسیبپذیری دیگر با شدت بالا که تنها بر روی فایرفاکس در اندروید تأثیر میگذارد با شناسهی CVE-2016-2813 توسط تیم تحقیقاتی دانشگاه نیوکاسل در انگلستان گزارششده است. محققان کشف کردهاند که یک مهاجم میتواند اقداماتی را با استفاده از جاوا اسکریپت انجام داده تا به دادههای جهتیابی دستگاه و حسگر حرکتی آن دسترسی پیدا کند. این کار موجب میشود تا فعالیتهای کاربر و اطلاعات آن ازجمله رمز ورود دستگاه در معرض خطر قرار گیرد.
مشکل دیگری که تنها بر روی نسخه اندروید فایرفاکس تأثیر میگذارد بهوسیله کن اکویاما کشفشده است. او دریافت که یک حفره با شدت متوسط به یک نرمافزار آلوده اجازه میدهد تا دادهها را بخواند. این دادهها شامل تاریخچه مرورگر و رمزهای ذخیرهشده در دستگاه بودند. تنها نسخههای اندروید پیش از نسخه ۵ در معرض این خطر قرار دارند.
لوبر یانگ یک محقق امنیتی دیگر نیز برای شناسایی دو حفره با شدت بالا مربوط به Service Workers (CVE-2016-2811 و CVE-2016-2812) موردتمجید قرارگرفته است.
فهرست دیگر آسیبپذیریها با درجه متوسط که در فایرفاکس اصلاحشدهاند شامل یک آسیبپذیریِ افزایش دسترسی از طریق حذف پرونده و یک آسیبپذیری افزایش دسترسی از طریق افزونه وب و یک ضعف در گزارش عدم وجود مشکل (یا سلامتی مرورگر) در فایرفاکس میشوند.
شاخصههای CVE زیر به این آسیبپذیریهای حیاتی تخصیص دادهشدهاند: CVE-2016-2804،CVE-2016-2805،, CVE-2016-2806 CVE-2016-2807.
از پنج حفرهای که با شدت بالا رتبهبندی شده و در آخرین نسخه منتشره فایرفاکس برطرف شدهاند، یکی از آنها بهوسیله گروه امنیت ارتباطات الکترونیک CESG به موزیلا گزارش شد که یک بازوی امنیت اطلاعات متعلق به ستاد ارتباطات دولت انگلستان (GCHQ) است.
موزیلا در متن مشاوره خود گفته است: «GESG گزارش داده است که متد جاوا اسکریپت watch میتواند برای سرریز محاسبه نسل ۳۲ بیتی HashMap استفاده شود که منجر به نوشته شدن یک ورودی نامعتبر خواهد شد».
در شرایط خاص، ممکن است که از آسیبپذیری CVE-2016-2808 برای اجرای کد دلخواه استفاده شود، اما موزیلا خاطرنشان میکند که یک مهاجم برای اینکه بتواند این سرریز بافر را انجام دهد باید قربانی را وادار به باز کردن یک صفحه آلوده برای مدتزمان خاصی کند.
ساشا جاست یک محقق امنیتی نیز به گزارش یک آسیبپذیری دیگر با شدت بالا پرداخته که میتواند از طریق محتوای دستکاریشدهی آلوده در شبکه مورد بهرهبرداری قرار گیرد و موجب ازکارافتادن برنامه بهمنظور بهرهبرداری از آن شود. این ضعف با شناسه libstagefright ردیابی شده و موجب میشود که کتابخانه libstagefright دچار سرریز بافر شود.
یک آسیبپذیری دیگر با شدت بالا که تنها بر روی فایرفاکس در اندروید تأثیر میگذارد با شناسهی CVE-2016-2813 توسط تیم تحقیقاتی دانشگاه نیوکاسل در انگلستان گزارششده است. محققان کشف کردهاند که یک مهاجم میتواند اقداماتی را با استفاده از جاوا اسکریپت انجام داده تا به دادههای جهتیابی دستگاه و حسگر حرکتی آن دسترسی پیدا کند. این کار موجب میشود تا فعالیتهای کاربر و اطلاعات آن ازجمله رمز ورود دستگاه در معرض خطر قرار گیرد.
مشکل دیگری که تنها بر روی نسخه اندروید فایرفاکس تأثیر میگذارد بهوسیله کن اکویاما کشفشده است. او دریافت که یک حفره با شدت متوسط به یک نرمافزار آلوده اجازه میدهد تا دادهها را بخواند. این دادهها شامل تاریخچه مرورگر و رمزهای ذخیرهشده در دستگاه بودند. تنها نسخههای اندروید پیش از نسخه ۵ در معرض این خطر قرار دارند.
لوبر یانگ یک محقق امنیتی دیگر نیز برای شناسایی دو حفره با شدت بالا مربوط به Service Workers (CVE-2016-2811 و CVE-2016-2812) موردتمجید قرارگرفته است.
فهرست دیگر آسیبپذیریها با درجه متوسط که در فایرفاکس اصلاحشدهاند شامل یک آسیبپذیریِ افزایش دسترسی از طریق حذف پرونده و یک آسیبپذیری افزایش دسترسی از طریق افزونه وب و یک ضعف در گزارش عدم وجود مشکل (یا سلامتی مرورگر) در فایرفاکس میشوند.
منبع: iTabnak
روی خط سایت ها
ارسال نظر
فیلم
جدیدترین اخبار