آسیبپذیریهای چندگانه اجرای کد دلخواه در مرورگر موزیلا فایرفاکس
طبق آخرین گزارشات CIS Security آسیبپذیریهای چندگانه جدید در Mozilla Firefox/ESR کشف شده است که شدیدترین آنها میتوانند باعث اجرای کد دلخواه بر روی سیستم هدف شوند. سوءاستفاده موفقیتآمیز از شدیدترین این آسیبپذیریها میتواند به مهاجمان اجازه دهد کد دلخواه خود را در مرورگر سیستم قربانی اجرا کنند. بسته به دسترسیهای داده شده به برنامه، مهاجم میتواند اقدام به نصب برنامه، بازدید یا تغییر در اطلاعات موجود یا حتی ایجاد حسابهای کاربری جدید نماید. اگر در تنظیمات و پیکربندی به نکات امنیتی توجه شود، حتی سوءاستفاده از شدیدترین این آسیبپذیریها نیز تأثیر کمتری را نسبت به حالت تنظیمات پیشفرض خواهد داشت. سیستم های تحت تاثیر این آسیب پذیریها: Mozilla Firefox versions prior to 94 Firefox ESR versions prior to 91.3 طبق گزارشات در حال حاضر بهرهبرداری از آسیبپذیریها بصورت فعال انجام نشده است. اکیداً به کاربران توصیه میشود که مرورگرهای خود را به آخرین نسخه موجود بهروزرسانی کنند. همچنین CVE و جزئیات آسیبپذیریها به شرح زیر است: - Iframe sandbox rules did not apply to XSLT stylesheets (CVE-2021-38503) - Use-after-free in file picker dialog (CVE-2021-38504) - Windows 10 Cloud Clipboard may have recorded sensitive user data (CVE-2021-38505) - Firefox could be coaxed into going into fullscreen mode without notification(CVE-2021-38506) - Opportunistic Encryption in HTTP2 could be used to bypass the Same-Origin-Policy on services hosted on other ports (CVE-2021-38507) - Improper sanitization when processing a QR code resulted in Universal XSS (MOZ-2021-0003) - Permission Prompt could be overlaid, resulting in potential spoofing (CVE-2021-38508) - Web Extensions could access URL when their context menu was triggered (MOZ-2021-0004) - Javascript alert box could have been spoofed onto an arbitrary domain (CVE-2021-38509) - Download Protections were bypassed by .inetloc files on Mac OS (CVE-2021-38510) - Copy Image Link' context menu action could have been abused (MOZ-2021-0005) - URL Parsing may incorrectly parse internationalized domains (MOZ-2021-0006) - Memory safety bugs in Firefox 93 and Firefox ESR 91.2 (MOZ-2021-0007) - Use-after-free in HTTP2 Session object may cause exploitable crashes (MOZ-2021-0008)
مرکز ماهر
دانشگاه کردستان