مرکز آپا دانشگاه کردستان

آسیب‌پذیری‌های چندگانه در محصولات موزیلا که می‌تواند منجر به اجرای کد از راه دور شود.

شرح: آسیب‌پذیری‌های‌ چندگانه در مرورگر موزیلا فایرفاکس و نسخه ESR آن کشف شده است که بهره‌برداری از شدیدترین آن‌ها می‌تواند منجر به اجرای کد دلخواه شود. موزیلا فایرفاکس یک مرورگر وب است که برای دسترسی به اینترنت استفاده می‌شود و موزیلا فایرفاکس نسخه ESR یک نسخه از این مرورگر وب است که در سازمان‌های بزرگ استفاده می‌شود. بهره‌برداری موفق از این آسیب‌پذیری‌ها می‌تواند منجر به اجرای کد دلخواه شود. بسته به مجوزهای مربوط به این برنامه، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. کاربرانی که حساب‌های آنها به گونه‌ای پیکربندی شده‌ است که سطح دسترسی کاربری کمتری در سیستم داشته باشند، می‌توانند کمتر از کسانی که با حقوق کاربری مدیریتی کار می‌کنند، آسیب‌پذیر باشند. تهدید امنیتی: در حال حاضر هیچ گزارشی مبنی بر سوء استفاده از این آسیب‌پذیری‌ها در دنیای بیرون ارائه نشده است. سیستم‌های تحت‌تاثیر این آسیب‌پذیری‌ها: • موزیلا فایرفاکس نسخه‌های قبل از 67 • موزیلا فایرفاکس ESR نسخه‌های قبل از 60.7 ریسک‌پذیری و مخاطره: دولتی : • موسسات دولتی بزرگ و متوسط : زیاد • موسسات دولتی کوچک : متوسط کسب و کار و تجارت: • موسسات دولتی بزرگ و متوسط : زیاد • موسسات دولتی کوچک : متوسط کاربران خانگی: • کم خلاصه فنی: آسیب‌پذیری‌های‌متعددی در مرورگر موزیلا فایرفاکس و نسخه ESR آن کشف شده است که بهره‌برداری از شدیدترین آن‌ها می‌تواند منجر به اجرای کد دلخواه شود. شناسه این آسیب‌پذیری‌ها به شرح زیر است: • CVE-2019-11691 • CVE-2019-11699 • CVE-2019-5798 • CVE-2019-9816 • CVE-2019-9818 • CVE-2019-11692 • CVE-2019-11695 • CVE-2019-9800 • CVE-2019-9814 • CVE-2019-9815 • CVE-2019-11694 • CVE-2019-9819 • CVE-2019-9820 • CVE-2019-11697 • CVE-2019-11700 • CVE-2019-18511 • CVE-2019-11698 • CVE-2019-9797 • CVE-2019-9817 • CVE-2019-11696 • CVE-2019-9821 • CVE-2019-7317 • CVE-2019-11693 توصیه‌ها: توصیه می‌شود که اقدامات زیر انجام شود: • بلافاصله پس از آزمایش مناسب، وصله مناسب ارائه‌شده توسط موزیلا به سیستم‌های آسیب‌پذیر اعمال شود. • برای کاهش اثر حملات موفقیت‌آمیز، همه‌ی نرم‌افزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید. • تذکر به کاربران برای بازدید نکردن از وب‌سایت‌های با منبع نامعتبر و همچنین دنبال نکردن لینک‌های ناشناس. • اطلاع‌رسانی و آموزش کاربران در مورد تهدیدات ناشی از لینک‌های ابرمتن موجود در ایمیل‌ها یا ضمیمه‌ها مخصوصاً از منابع نامعتبر و ناشناس. • اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.