مرکز آپا دانشگاه کردستان

آسیب‌پذیری‌های چندگانه درMozilla Firefox، می‌تواند منجر به اجرای کد دلخواه ‌شود. (انتشار 02/13/2019)

خلاصه آسیب‌پذیری: آسیب‌پذیری‌های متعددی در Mozilla Firefox و Firefox Extended Support Release (ESR) کشف شده است که استفاده از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب اجرای کد دلخواه شود. موزیلا فایرفاکس یک مرورگر وب است که برای دسترسی به اینترنت استفاده می‌شود و موزیلا فایرفاکس ESR یک نسخه از مرورگر وب است که در سازمان‌های بزرگ مستقر شده است. بهره‌برداری از مهم‌ترین این آسیب‌پذیری‌ها می‌تواند منجر به اجرای کد دلخواه شود. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند. اگر حساب کاربران با حقوق کاربری پایین‌تری پیکربندی شده‌باشد بهره‌برداری از این آسیب‌پذیری می‌تواند تاثیر کمتری داشته‌باشد، مگر اینکه با حقوق administrative تنظیم شود. سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی متوسط و زیاد است. در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری دریافت نشده است. نسخه‌های تحت‌تأثیر: • Mozilla Firefox versions prior to 65.0.1 • Mozilla Firefox ESR versions prior to 60.5.1 جزئیات آسیب‌پذیری‌ها: جزئیات این آسیب‌پذیری‌ها به شرح زیر است: • آسیب‌پذیری use-after-free در کتابخانه Skia ممکن است در زمان ایجاد یک مسیر رخ دهد و منجر به کرش سیستم شود. (CVE-2018-18356) • آسیب‌پذیری سرریز عدد صحیح در کتابخانه Skia ممکن است بعد از اعمال تغییر خاصی اتفاق بیفتد و منجر به کرش سیستم شود.( CVE-2019-5785) • تصاویر Cross-origin می‌تواند از طریق یک canvas element به عنوان نقصی در سیاست same-origin و با استفاده از روش transferFromImageBitmap خوانده شود. این آسیب‌پذیری تنها بر روی Firefox 65 متأثر است و نسخه‌های قبلی تحت تأثیر قرار ندارند.( CVE-2018-18511) • یک آسیب‌پذیری سرریز بافر در کتابخانه Skia با Canvas 2D acceleration بر روی سیستم‌عامل MAC رخ می‌دهد. این مشکل با غیرفعال کردن Canvas 2D acceleration در Firefox ESR می‌تواند برطرف شود. البته این ویژگی به صورت پیش‌فرض غیرفعال است.( CVE-2018-18335) توصیه‌ها • توصیه می‌شود سریعاً نسبت به اعمال پچ‌های منتشر شده توسطMozilla اقدام نمایید. • برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید. • به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند. • کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد مطلع گشته و آموزش داده شوند. • اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها مورد توجه قرار گیرد.