آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در مرورگر موزیلا فایرفاکس

آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در مرورگر موزیلا فایرفاکس

نظری اجمالی: آسیب‌پذیری‌های چندگانه‌ای در مرورگر فایرفاکس و همچنین نسخه ESR آن کشف شده است، که شدیدترین این آسیب‌پذیری‌ها می‌تواند منجر به اجرای کد دلخواه شود. موزیلا فایرفاکس یک مرورگر وب است که برای دسترسی به اینترنت استفاده می‌شود و موزیلا فایرفاکس ESR یک نسخه از این مرورگر وب است که در سازمان‌های بزرگ استفاده می‌شود. بهره‌برداری موفق از این آسیب‌پذیری‌ها می‌تواند منجر به اجرای کد دلخواه شود. بسته به امتیازات مربوط به این برنامه، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب های جدید با حقوق کامل کاربری را ایجاد کند. کاربرانی که حساب‌های آنها به گونه‌ای پیکربندی شده‌اند که حقوق کاربری کمتری در سیستم داشته باشند، می‌توانند کمتر از کسانی که با حقوق کاربری مدیریتی کار می‌کنند، آسیب‌پذیر باشند. تهدید امنیتی: در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری‌ها منتشر نشده است. سیستم های تحت تاثیر این آسیب پذیری‌ها: • موزیلا فایرفاکس، نسخه‌های ماقبل 66.0.1 • موزیلا فایرفاکس ESR، نسخه‌های ماقبل 60.6.1 ریسک پذیری و مخاطره: دولتی : • موسسات دولتی بزرگ و متوسط : زیاد • موسسات دولتی کوچک : متوسط کسب و کار و تجارت: • موسسات دولتی بزرگ و متوسط : زیاد • موسسات دولتی کوچک : متوسط کاربران خانگی : • کم خلاصه فنی: آسیب‌پذیری‌های چندگانه‌ای در مرورگر فایرفاکس وهمچنین نسخه ESR آن کشف شده است، که شدیدترین این آسیب‌پذیری‌ها می‌تواند منجر به اجرای کد دلخواه شود. این آسیب‌پذیری‌ها، باگ Just-In-Time) JIT) را که در رقابت سالانه Pwn2Own مورد استفاده قرار گرفت را مورد استفاده قرار می‌دهند. جزئیات این آسیب‌پذیری‌ها به شرح زیر است: • اطلاعات نام نامعتبر در کامپایلر IonMonkey JIT برای متد Array.prototype.slice که ممکن است منجر به عدم بررسی محدوده و سرریز بافر شود. (CVE-2019-9810) • مدیریت نادرست تغییرات proto که ممکن است منجر به مبهم‌سازی نوعی در کد JITMonkey شود و حتی می‌تواند برای خواندن و نوشتن دلخواه حافظه قابل استفاده باشد. (CVE-2019-9813) • بهره‌برداری موفق از این آسیب‌پذیری‌ها می‌تواند منجر به اجرای کد دلخواه شود. بسته به امتیازات مربوط به این برنامه، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب های جدید با حقوق کامل کاربری را ایجاد کند. کاربرانی که حساب‌های آنها به گونه‌ای پیکربندی شده‌اند که حقوق کاربری کمتری در سیستم داشته باشند، می‌توانند کمتر از کسانی که با حقوق کاربری مدیریتی کار می‌کنند، آسیب‌پذیر باشند. توصیه ها : • بلافاصله پس از آزمایش مناسب، وصله مناسب ارائه‌شده توسط موزیلا، به سیستم‌های آسیب‌پذیر اعمال شود. • برای کاهش اثرات حمله موفقیت آمیز ، همه‌ نرم افزارها را به عنوان یک کاربر غیرمجاز اجرا کنید. • تذکر به کاربران برای بازدید نکردن وب‌سایت‌های با منبع نامعتبر و همچنین دنبال نکردن لینک‌های ناشناس. • اطلاع‌رسانی و آموزش کاربران در مورد تهدیدات ناشی از لینک‌های ابرمتن موجود در ایمیل‌ها یا ضمیمه‌ها مخصوصا از منابع نامعتبر و ناشناس. • اصل POLP یا Principle of Least Privilege را به تمام سیستم‌ها و سرویس‌ها اعمال کنید.