شناسایی یک آسیب پذیری بحرانی در فایرفاکس

به گزارش پایداری ملی به نقل از مرکز ماهر، این نقص بحرانی با شناسه «CVE-۲۰۱۹-۱۷۰۲۶»، ناشی از نوعی ‫آسیب‌پذیری type confusion vulnerability در کامپایلر IonMonkey just-in-time (JIT) در SpiderMonkey موتور جاوااسکریپت است.

به طور کلی این نوع آسیب‌پذیری زمانی رخ می‌دهد که کد برنامه، از objectsهای ارسالی، کورکورانه و بدون بررسی نوع آن‌ها استفاده کرده و به مهاجمان اجازه می‌دهد تا موجب از کار افتادن این برنامه یا اجرای کد موردنظر خود شوند.

پیش از این نیز، موزیلا نسخه‌های Firefox ۷۲.۰.۱ و Firefox ESR ۶۸.۴.۱ را جهت رفع یک آسیب‌پذیری در این مرورگر منتشر کرده بود.

موزیلا بدون آشکار ساختن جزئیات و نیز حملات احتمالی این نقص امنیتی اذعان داشت که «اطلاعات غلط در کامپایلر IonMonkey JIT جهت تنظیم عناصر آرایه، می‌تواند علت این نوع از آسیب‌پذیری باشد.»

این بدان معناست که این مسئله در موتور آسیب‌پذیر جاوااسکریپت، می‌تواند توسط یک مهاجم از راه دور برای فریب کاربر به بازدید از یک صفحه وب مخرب و سپس اجرای کد دلخواه خود روی سیستم و در چارچوب برنامه، مورد اکسپلویت قرار گیرد.

این آسیب‌پذیری توسط محققان امنیت سایبریِ ATA۳۶۰ Qihoo به موزیلا گزارش شده و هنوز هیچ اطلاعاتی از آن‌ها درباره تحقیقات، یافته‌ها و اکسپلویت این آسیب‎‌پذیری منتشر نشده است.

اگرچه مرورگر فایرفاکس به طور پیش فرض و خودکار به روزرسانی‌ها را اعمال می‌کند و پس از راه‌اندازی مجدد آن، نسخه جدید در دسترس است، اما کاربران می توانند از مسیر منو و مراجعه به آیکون help مرورگر خود آن را به روزرسانی کنند.