شرکت موزیلا با انتشار مرورگر فایرفاکس ۵۴ تقریباً ۳۲ آسیبپذیری را وصله کرد.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
شرکت موزیلا با انتشار مرورگر فایرفاکس ۵۴ تقریباً ۳۲ آسیبپذیری را وصله کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت موزیلا در فایرفاکس ۵۴ تقریباً ۳۲ آسیبپذیری را وصله کرد. یکی از این آسیبپذیریها بسیار حیاتی بود و میتوانست منجر به درهم شکستن سامانه و مرورگر بشود. این آسیبپذیری حیاتی یک اشکال استفاده پس از آزادسازی با شناسه CVE-۲۰۱۷-۵۴۷۲ بود که در بخش فریملودر مرورگر وجود داشت.
یک محقق امنیتی این آسیبپذیری را در طول بازسازی طرحهای CSS کشف کردهاست. این محقق متوجه شد در حین بازسازی طرحها در یک درخت، هنگامی که میخواهد به یک گره که وجود ندارد، دسترسی پیدا کند، میتواند باعث درهم شکستن سامانه شود.
در این بهروزرسانی همچنین نزدیک به ۱۲ آسیبپذیری دیگر نیز برطرف شده که موزیلا درجه اهمیت آنها را بالا اعلام کردهاست. این آسیبپذیریها عبارتاند از سه آسیبپذیری دیگرِ استفاده پس از آزادسازی (در حین عملیات کنترل ویدئو، یکی دیگر در مرورگر محتوا و دیگری در بارگذاری مجددِ داکشِل). در حالیکه این آسیبپذیریها نیز میتوانند به درهم شکستن مرورگر منجر شوند، ولی موزیلا اهمیت این آسیبپذیریها را کمتر از آسیبپذیری CVE-۲۰۱۷-۵۴۷۲ اعلام کردهاست.
برخی دیگر از آسیبپذیریها نیز مخصوص تنظیمات خاصی هستند. یکی از آسیبپذیریها با شناسه CVE-۲۰۱۷-۷۷۵۹ میتواند با نقض برخی از سیاستهای امنیتی به نفوذگر امکان خواندن دادههای محلی را بدهد. هرچند این آسیبپذیری تنها بر روی مرورگر فایرفاکس مخصوص دستگاههای اندرویدی وجود دارد. یک آسیبپذیریِ دیگر با شناسه CVE-۲۰۱۷-۷۷۵۵ میتواند به پرونده نصب فایرفاکس، امکان ارتقای امتیاز را بدهد ولی این آسیبپذیری تنها در سیستم عامل ویندوز وجود داشته و قابل بهرهبرداری است. بهرهبرداری از این آسیبپذیری به مهاجم اجازه میدهد پروندههای DLL مخرب را بارگذاری و در همان پوشه مربوط به نصبکننده ذخیره کند.
یک آسیبپذیری دیگر نیز تنها در سیستم عامل ویندوز فایرفاکس وجود داشت که مشابه آسیبپذیری قبلی، پرونده مربوط به نصب را تحتتأثیر قرار میداد. این آسیبپذیری میتوانست پروندههای موجود در دایرکتوری نصب را دستکاری کرده و تغییر دهد و درنهایت مهاجم میتوانست امتیازات مربوط به خود را ارتقا دهد. موزیلا در آخرین نسخه مرورگر فایرفاکس، چهار آسیبپذیری دیگر را نیز وصله کردهاست که مهاجم با بهرهبرداری از آنها میتواند به اجرای حملات جعل نوار آدرس بپردازد. براساس مشاورهنامهای که موزیلا منتشر کردهاست، یکی از این آسیبپذیریها باعث میشود تا در سامانههای مک، نویسههای تبت مانند نویسه خالی نمایش داده شوند. موزیلا اعلام کرده آسیبپذیریهای دیگر نیز مربوط به یونیکدهای کانادایی هستند که میتوان نویسههای زبانهای دیگر را بین آنها جا دارد و از آنها برای حملات جعل دامنه استفاده کرد.
در نسخه ۵۴ فایرفاکس علاوهبر برطرف شدن آسیبپذیریها، شرکت موزیلا اولین مرورگری را منتشر کردهاست که برای محتوای صفحات وب از پردازندههای مختلف برای سیستمعاملهای گوناگون استفاده میکند و این کار باعث بهبود کارایی مرورگر میشود. پشتیبانی از چند پردازه، پروژهای است که موزیلا آن را Electrolysis نامگذاری کرده و چندین سال است که در دست توسعه بودهاست. این فناوری اساساً پردازه مربوط به محتوای یک صفحه وب را به چهار پردازه تبدیل میکند.