شرکت موزیلا در فایرفاکس 54 تقریباً 32 آسیب‌پذیری را وصله کرد

سه‌شنبه‌ی هفته‌ی گذشته، شرکت موزیلا با انتشار مرورگر فایرفاکس 54 تقریباً 32 آسیب‌پذیری را وصله کرد. یکی از این آسیب‌پذیری‌ها بسیار حیاتی بوده و می‌توانست منجر به درهم شکستن سامانه و مرورگر بشود. این آسیب‌پذیری حیاتی یک اشکال استفاده پس از آزادسازی با شناسه‌ی CVE-2017-5472 بود که در بخش فریم‌لودر مرورگر وجود داشت. یک محقق امنیتی این آسیب‌پذیری را در طول بازسازی طرح‌های CSS کشف کرده است. این محقق متوجه شد در حین بازسازی طرح‌ها در یک درخت، هنگامی که می‌خواهد به یک گره که وجود ندارد، دسترسی پیدا کند، می‌تواند باعث درهم شکستن سامانه شود. 

 

در این به‌روزرسانی همچنین نزدیک به 12 آسیب‌پذیری دیگر نیز برطرف شده که موزیلا درجه‌ی اهمیت آن‌ها را بالا اعلام کرده است. این آسیب‌پذیری‌ها عبارتند از: 3 آسیب‌پذیری دیگرِ استفاده پس از آزادسازی (در حین عملیات کنترل ویدئو، یکی دیگر در مرورگر محتوا و دیگری در بارگذاری مجددِ داک‌شِل). در حالی‌که این آسیب‌پذیری‌ها نیز می‌توانند به درهم شکستن مرورگر منجر شوند، ولی موزیلا اهمیت این آسیب‌پذیری‌ها را کمتر از آسیب‌پذیری CVE-2017-5472 اعلام کرده است. 

 

برخی دیگر از آسیب‌پذیری‌ها نیز مخصوص تنظیمات خاصی هستند. یکی از آسیب‌پذیری‌ها با شناسه‌ی CVE-2017-7759 می‌تواند با نقض برخی از سیاست‌های امنیتی، به نفوذگر امکان خواندن داده‌های محلی را بدهد. هرچند این آسیب‌پذیری تنها بر روی مرورگر فایرفاکس مخصوص دستگاه‌های اندرویدی وجود دارد. یک آسیب‌پذیریِ دیگر با شناسه‌ی CVE-2017-7755 می‌تواند به پرونده‌ی نصب فایرفاکس، امکان ارتقاء امتیاز را بدهد ولی این آسیب‌پذیری تنها در سامانه عامل ویندوز وجود داشته و قابل بهره‌برداری است. بهره‌برداری از این آسیب‌پذیری به مهاجم اجازه می‌دهد پرونده‌های DLL مخرب را بارگذاری و در همان پوشه‌ی مربوط به نصب‌کننده ذخیره کند. 

 

یک آسیب‌پذیری دیگر نیز تنها در سامانه عامل ویندوز فایرفاکس وجود داشت که مشابه آسیب‌پذیری قبلی، پرونده‌ی مربوط به نصب را تحت تأثیر قرار می‌داد. این آسیب‌پذیری می‌توانست پرونده‌های موجود در دایرکتوری نصب را دست‌کاری کرده و تغییر دهد و در نهایت مهاجم می‌توانست امتیازات مربوط به خود را ارتقاء دهد. موزیلا در آخرین نسخه‌ی مرورگر فایرفاکس 4 آسیب‌پذیریِ دیگر را نیز وصله کرده است که مهاجم با بهره‌برداری از آن‌ها می‌تواند به اجرای حملات جعل نوار آدرس بپردازد. براساس مشاوره‌نامه‌ای که موزیلا منتشر کرده است، یکی از این آسیب‌پذیری‌ها باعث می‌شود تا در سامانه‌های مک، نویسه‌های تبت مانند نویسه‌ی خالی نمایش داده شوند. موزیلا اعلام کرده آسیب‌پذیری‌های دیگر نیز مربوط به یونیکدهای کانادایی هستند که می‌توان نویسه‌های زبان‌های دیگر را بین آنها جا دارد و از آن‌ها برای حملات جعل دامنه استفاده کرد.

 

در نسخه‌ی 54 فایرفاکس علاوه بر برطرف شدن آسیب‌پذیری‌ها، شرکت موزیلا به این مسئله نیز افتخار می‌کند که اولین مرورگری را منتشر کرده که برای محتوای صفحات وب، از پردازنده‌های مختلف برای سامانه عامل‌های گوناگون استفاده می‌کند و این کار باعث بهبود کارایی مرورگر می‌شود. پشتیبانی از چند پردازه، پروژه‌ای است که موزیلا آن را Electrolysis نامگذاری کرده و چندین سال است که در دست توسعه بوده است. این فناوری اساساً پردازه‌ی مربوط به محتوای یک صفحه‌ی وب را به 4 پردازه تبدیل می‌کند.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید