آسیبپذیریهای چندگانه اجرای کد دلخواه در مرورگر موزیلا فایرفاکس
نظری اجمالی: آسیبپذیریهای چندگانهای در مرورگر فایرفاکس و همچنین نسخه ESR آن کشف شده است، که شدیدترین این آسیبپذیریها میتواند منجر به اجرای کد دلخواه شود. موزیلا فایرفاکس یک مرورگر وب است که برای دسترسی به اینترنت استفاده میشود و موزیلا فایرفاکس ESR یک نسخه از این مرورگر وب است که در سازمانهای بزرگ استفاده میشود. بهرهبرداری موفق از این آسیبپذیریها میتواند منجر به اجرای کد دلخواه شود. بسته به امتیازات مربوط به این برنامه، مهاجم میتواند نرمافزارها را نصب و یا حذف کند و همچنین اطلاعات و دادهها را مشاهده، تغییر یا حذف کند و یا حساب های جدید با حقوق کامل کاربری را ایجاد کند. کاربرانی که حسابهای آنها به گونهای پیکربندی شدهاند که حقوق کاربری کمتری در سیستم داشته باشند، میتوانند کمتر از کسانی که با حقوق کاربری مدیریتی کار میکنند، آسیبپذیر باشند. سیستم های تحت تاثیر این آسیب پذیریها: • موزیلا فایرفاکس، نسخههای ماقبل 66.0.1 • موزیلا فایرفاکس ESR، نسخههای ماقبل 60.6.1 ریسک پذیری و مخاطره: دولتی : • موسسات دولتی بزرگ و متوسط : زیاد • موسسات دولتی کوچک : متوسط کسب و کار و تجارت: • موسسات دولتی بزرگ و متوسط : زیاد • موسسات دولتی کوچک : متوسط کاربران خانگی : • کم خلاصه فنی: آسیبپذیریهای چندگانهای در مرورگر فایرفاکس وهمچنین نسخه ESR آن کشف شده است، که شدیدترین این آسیبپذیریها میتواند منجر به اجرای کد دلخواه شود. این آسیبپذیریها، باگ Just-In-Time) JIT) را که در رقابت سالانه Pwn2Own مورد استفاده قرار گرفت را مورد استفاده قرار میدهند. جزئیات این آسیبپذیریها به شرح زیر است: • اطلاعات نام نامعتبر در کامپایلر IonMonkey JIT برای متد Array.prototype.slice که ممکن است منجر به عدم بررسی محدوده و سرریز بافر شود. (CVE-2019-9810) • مدیریت نادرست تغییرات proto که ممکن است منجر به مبهمسازی نوعی در کد JITMonkey شود و حتی میتواند برای خواندن و نوشتن دلخواه حافظه قابل استفاده باشد. (CVE-2019-9813) • بهرهبرداری موفق از این آسیبپذیریها میتواند منجر به اجرای کد دلخواه شود. بسته به امتیازات مربوط به این برنامه، مهاجم میتواند نرمافزارها را نصب و یا حذف کند و همچنین اطلاعات و دادهها را مشاهده، تغییر یا حذف کند و یا حساب های جدید با حقوق کامل کاربری را ایجاد کند. کاربرانی که حسابهای آنها به گونهای پیکربندی شدهاند که حقوق کاربری کمتری در سیستم داشته باشند، میتوانند کمتر از کسانی که با حقوق کاربری مدیریتی کار میکنند، آسیبپذیر باشند. توصیه ها : • بلافاصله پس از آزمایش مناسب، وصله مناسب ارائهشده توسط موزیلا، به سیستمهای آسیبپذیر اعمال شود. • برای کاهش اثرات حمله موفقیت آمیز ، همه نرم افزارها را به عنوان یک کاربر غیرمجاز اجرا کنید. • تذکر به کاربران برای بازدید نکردن وبسایتهای با منبع نامعتبر و همچنین دنبال نکردن لینکهای ناشناس. • اطلاعرسانی و آموزش کاربران در مورد تهدیدات ناشی از لینکهای ابرمتن موجود در ایمیلها یا ضمیمهها مخصوصا از منابع نامعتبر و ناشناس. • اصل POLP یا Principle of Least Privilege را به تمام سیستمها و سرویسها اعمال کنید.
مرکز ماهر
دانشگاه کردستان