آسیبپذیریهای چندگانه در مرورگر Mozilla Thunderbird میتواند موجب اجرای کد دلخواه شود
نظری اجمالی: آسیبپذیریهای چندگانهای در Mozilla Thunderbird کشف شده است که شدیدترین آن میتواند موجب اجرای کد دلخواه شود. Mozilla Thunderbird یک سرویس ایمیل است. بهرهبرداری موفق از شدیدترین این آسیبپذیریها میتواند منجر به دست گرفتن کنترل سیستم آلوده شده توسط مهاجمان شود و بسته به امتیازات مربوط به این برنامه، مهاجم میتواند نرمافزارها را نصب و یا حذف کند و همچنین اطلاعات ودادهها را مشاهده کند، تغییر دهد یا حذف نماید و یا حسابهای جدید با حقوق کامل کاربری را ایجاد کند. اگر دسترسی کاربری کمتری برای این برنامه در سیستم اعمال شود، بهرهبرداری از این آسیبپذیریها میتواند تاثیر مخرب کمتری داشته باشد، مگر اینکه برنامه با دسترسی مدیریتی یا admin پیکربندی شود. سیستمهای تحتتأثیر: • Mozilla Thunderbird versions prior to 60.2.1 خلاصه فنی: جزئیات این آسیبپذیریها به شرح زیر است: • یک آسیبپذیری use after free در تایمر درایورهای تازهسازی صفحات، که طبق شرایط خاصی هنگام خاموش شدن، وقتی تایمر حذف میشود هنوز هم در حال استفاده میباشد و نتیجه این آسیبپذیری میتواند قابل بهرهبرداری باشد. (CVE-2018-12377) • یک آسیبپذیری use after free که زمانی رخ میدهد که نمایهIndexedDB حذف میشود در حالی که هنوز در کد جاوا اسکریپت از آن استفاده میشود و دارای مقادیر payload برای ذخیره شدن است که این آسیبپذیری را قابل بهرهبرداری میکند. (CVE-2018-12378) • یک آسیبپذیری که هنگامی که آپدیتکننده موزیلا یک فایل فرمت MAR حاوی یک نام پرونده بسیار طولانی است را باز میکند، ممکن است out-of-bounds write ایجاد شود که منجر به بهرهبرداری موفق از این آسیبپذیری میشود. برای انجام این کار بایستی بروزرسانی موزیلا به صورت دستی بر روی سیستم محلی با فایل MAR آلوده اجرا شود. (CVE-2018-12379) • تنظیمات پروکسی مرورگر میتواند با استفاده از قابلیت Automount با autofs برای ایجاد یک نقطه اتصال در سیستم فایل محلی، دور زده شود. محتوا را میتوان از این فایل سیستم نصب شده به طور مستقیم برای دور زدن تنظیمات پروکسی مرورگر بارگذاری کرد. توجه: این مسئله تنها بر روی OS X با تنظیمات پیشفرض تاثیر میگذارد و در سیستمهای لینوکسی، autofs باید نصب شده باشد تا آسیبپذیر شود و ویندوز تحت تاثیر این آسیبپذیری قرار ندارد. (CVE-2017-16541) • اشکالات امنیتی در Firefox 61 و Firefox ESR 60.1 که برخی از این اشکالات شواهدی از نقص در حافظه را نشان میدهند و با تلاش کافی، برخی از این اشکالات میتوانند برای اجرای کد دلخواه مورد سوءاستفاده قرار بگیرند. (CVE-2018-12376) • اشکال بالقوه قابل بهرهبرداری در TransportSecurityInfo که برای SSL استفاده میشود و میتواند توسط دادههای ذخیره شده در حافظه کش، در دایرکتوری پروفایل کاربر ایجاد شود. این مسئله تنها در ترکیب با یک آسیبپذیری دیگر قابل استفاده است که اجازه میدهد مهاجم بتواند در حافظه کش محلی دادهها را بنویسد. (CVE-2018-12385) • اگر یک کاربر پسوردها را قبل از فایرفاکس 58 ذخیره کند و سپس بعداً رمز عبور اصلی را ذخیره کند، یک نسخه رمزنگاری نشده از این رمزهای عبور هنوز قابل دسترسی است. دلیل این امر اینست که فایل رمز عبور ذخیره شده قدیمی که هنگام ارسال داده به یک فرمت جدید از طریق فایرفاکس 58 کپی شد، پاک نمیشود و رمزعبور اصلی جدید فقط در فایل جدید اضافه می شود. این مشکل میتواند منجر به افشای دادههای ذخیره شده، خارج از انتظارات کاربران شود. بهرهبرداری موفق از شدیدترین این آسیبپذیریها میتواند منجر بدست گرفتن کنترل سیستم آلوده شده توسط مهاجمان شود و بسته به امتیازات مربوط به این برنامه، مهاجم میتواند نرمافزارها را نصب و یا حذف کند و همچنین اطلاعات ودادهها را مشاهده کند، تغییر دهد یا حذف نماید و یا حساب های جدید با حقوق کامل کاربری را ایجاد کند. اگر دسترسی کاربری کمتری برای این برنامه در سیستم اعمال شود، بهرهبرداری از این آسیبپذیریها میتواند تاثیر مخرب کمتری داشته باشد، مگر اینکه برنامه با دسترسی مدیریتی یا admin پیکربندی شود. توصیهها: توصیه میشود که اقدامات زیر انجام شود: • بلافاصله پس از آزمایش مناسب، وصله مناسب ارائهشده توسط Firefox به سیستمهای آسیبپذیر اعمال شود. • برای کاهش اثرات حمله موفقیت آمیز ، همهی نرم افزارها را به عنوان یک کاربر غیرمجاز اجرا کنید. • تذکر به کاربران برای بازدید نکردن وبسایتهای با منبع نامعتبر و همچنین دنبال نکردن لینکهای ناشناس. • اطلاعرسانی و آموزش کاربران در مورد تهدیدات ناشی از لینکهای ابرمتن موجود در ایمیلها یا ضمیمهها مخصوصا از منابع نامعتبر و ناشناس. • اصل POLP یا Principle of Least Privilege را به تمام سیستمها و سرویسها اعمال کنید.
مرکز ماهر
دانشگاه کردستان