کاربران فایرفاکس مراقب باشند!

 
 
به تازگی آسیب‌پذیری امنیتی جدیدی در مرورگر اینترنتی فایرفاکس یافت شده که امکان نفوذ به حساب کاربری و اطلاعات شخصی توییتری کاربران این مرورگر را به هکرها می دهد.
 
فایرفاکس که بدون شک یکی از محبوب ترین و معروف ترین مرورگرهای اینترنتی در جهان به شمار می رود، با توجه به قابلیت های متنوع همچون پلتفرم متن باز و همچنین ویژگی های امنیتی در راستای حفاظت از حریم خصوصی کاربران طرفداران تاکنون موفق شده تا طرفداران بسیاری را به سمت و سوی خود جلب کند.  
 
بر اساس گزارش وب سایت بتانیوز، اما حالا به نظر می‌رسد که به عقیده برخی از محققان و کارشناسان فعال در حوزه امنیت سایبری، اطلاعات شخصی و خصوصی در حساب توییتری کاربرانی که از مرورگر موزیلا فایرفاکس استفاده کرده‌اند در معرض افشا و دسترسی هکرها و مجرمان سایبری قرار گرفته است.
 
آنها بر این باورند که اطلاعات شخصی افراد به علت یک باگ نرم‌افزاری و آسیب پذیری امنیتی در قسمت حافظه نهانی و داخلی سیستم ذخیره می شود.   نکته جالب توجه اینجاست که توییتر تاکید کرده کاربران سایر مرورگرهای محبوب همچون گوگل کروم و اپل سافاری در معرض این آسیب پذیری نبوده و آنها حفره‌های امنیتی مذکور را برطرف کرده اند.
 
سخنگوی توییتر پیشتر در گفتگویی با گزارشگران خاطرنشان کرده بود : ما به تازگی دریافته ایم در صورتی که کاربری با استفاده از مرورگر فایرفاکس در رایانه ای عمومی به حساب کاربری توییتر وارد شده باشید و به دانلود و دریافت و ارسال داده های شخصی خود اقدام کرده باشد،   اطلاعات آن در حافظه نهانی مرورگر ذخیره می شود و حتی پس از خروج از حساب کاربری، اطلاعات در همان مکان باقی ممی مانند. فایرفاکس داده‌های حافظه نهانی را به مدت هفت روز نگه‌ می‌دارد و پس‌ازآن، داده‌ها به‌صورت خودکار پاک می‌شوند. البته این مشکل برای کاربران مرورگرهای دیگر همچون گوگل‌کروم و اپل سافاری وجود ندارد.  
 

فایرفاکس دیگر از پروتکل اف تی پی پشتیبانی نمی کند

بنیاد موزیلا طراح مرورگر فایرفاکس می گوید دیگر از پروتکل اف تی پی پشتیبانی نمی کند. این شرکت علت این مساله را نگرانی های امنیتی دانسته است.
 
 
 
به نقل از زددی نت، موزیلا با صدور اطلاعیه ای به طور رسمی اعلام کرده که دیگر از پروتکل اف تی پی پشتیبانی نمی کند. بر همین اساس دیگر نمی توان از طریق فایرفاکس و با پروتکل اف تی پی فایل های مختلف را بارگذاری کرد.
 
 
به گفته مایکل نوونتی یکی از مهندسان نرم افزار در شرکت موزیلا این کار با هدف حفظ امنیت کاربران مرورگر فایرفاکس انجام شده است.
 
وی افزوده است: اف تی پی پروتکل ناامنی است و هیچ دلیلی ندارد که آن را بر پروتکل اچ تی تی پی اس که امنیت بالاتری دارد مرجح بدانیم.
 
وی افزوده است: بخشی از کدهای اف تی پی بسیار قدیمی هستند و همین مساله آن را ناایمن کرده است و این نگرانی وجود دارد که از این ناامنی سوءاستفاده شود. قرار است پشتیبانی از پروتکل اف تی پی همزمان با عرضه نسخه ۷۷ فایرفاکس در ژوئن سال جاری میلادی متوقف شود.
به طور کلی این نوع آسیب‌پذیری زمانی رخ می‌دهد که کد برنامه، از objectsهای ارسالی، کورکورانه و بدون بررسی نوع آن‌ها استفاده کرده و به مهاجمان اجازه می‌دهد تا موجب از کار افتادن این برنامه یا اجرای کد موردنظر خود شوند.
پیش از این نیز، موزیلا نسخه‌های Firefox 72.0.1 و Firefox ESR 68.4.1 را جهت رفع یک آسیب‌پذیری در این مرورگر منتشر کرده بود.
 
موزیلا بدون آشکار ساختن جزئیات و نیز حملات احتمالی این نقص امنیتی اذعان داشت: "اطلاعات غلط در کامپایلر
IonMonkey JIT جهت تنظیم عناصر آرایه، می‌تواند علت این نوع از آسیب‌پذیری باشد."
این بدان معناست که این مسئله در موتور آسیب‌پذیر جاوااسکریپت، می‌تواند توسط یک مهاجم از راه دور برای فریب کاربر به بازدید از یک صفحه وب مخرب و سپس اجرای کد دلخواه خود بر روی سیستم و در چارچوب برنامه، مورد اکسپلویت قرار گیرد.
این آسیب‌پذیری توسط محققان امنیت سایبریِ ATA360 Qihoo به موزیلا گزارش شده است و هنوز هیچ اطلاعاتی از آن‌ها درباره تحقیقات، یافته‌ها و اکسپلویت این آسیب‎‌پذیری منتشر نشده است.
اگرچه مرورگر فایرفاکس به طور پیش فرض و خودکار بروزرسانی‌ها را اعمال می‌کند و پس از راه‌اندازی مجدد آن، نسخه جدید در دسترس می‌باشد، اما می‌توانید از مسیر زیر نیز مرورگر خود را بروزرسانی نمایید:
Menu > Help > About Mozilla Firefox
'>

‫ آسیب‌پذیری بحرانی مرورگر فایرفاکس و لزوم بروزرسانی آن

این نقص بحرانی با شناسه "CVE-2019-17026"، ناشی از نوعی #‫آسیب‌پذیری 'type confusion vulnerability' در کامپایلر IonMonkey just-in-time (JIT) در SpiderMonkey موتور جاوااسکریپت است.
به طور کلی این نوع آسیب‌پذیری زمانی رخ می‌دهد که کد برنامه، از objectsهای ارسالی، کورکورانه و بدون بررسی نوع آن‌ها استفاده کرده و به مهاجمان اجازه می‌دهد تا موجب از کار افتادن این برنامه یا اجرای کد موردنظر خود شوند.
پیش از این نیز، موزیلا نسخه‌های Firefox 72.0.1 و Firefox ESR 68.4.1 را جهت رفع یک آسیب‌پذیری در این مرورگر منتشر کرده بود.
 
موزیلا بدون آشکار ساختن جزئیات و نیز حملات احتمالی این نقص امنیتی اذعان داشت: "اطلاعات غلط در کامپایلر
IonMonkey JIT جهت تنظیم عناصر آرایه، می‌تواند علت این نوع از آسیب‌پذیری باشد."
این بدان معناست که این مسئله در موتور آسیب‌پذیر جاوااسکریپت، می‌تواند توسط یک مهاجم از راه دور برای فریب کاربر به بازدید از یک صفحه وب مخرب و سپس اجرای کد دلخواه خود بر روی سیستم و در چارچوب برنامه، مورد اکسپلویت قرار گیرد.
این آسیب‌پذیری توسط محققان امنیت سایبریِ ATA360 Qihoo به موزیلا گزارش شده است و هنوز هیچ اطلاعاتی از آن‌ها درباره تحقیقات، یافته‌ها و اکسپلویت این آسیب‎‌پذیری منتشر نشده است.
اگرچه مرورگر فایرفاکس به طور پیش فرض و خودکار بروزرسانی‌ها را اعمال می‌کند و پس از راه‌اندازی مجدد آن، نسخه جدید در دسترس می‌باشد، اما می‌توانید از مسیر زیر نیز مرورگر خود را بروزرسانی نمایید:
Menu > Help > About Mozilla Firefox

فایرفاکس خود را آپدیت کنید

 
 
وزارت امنیت داخلی آمریکا با اشاره به وجود یک آسیب‌پذیری روز صفر در ورژن‌های قدیمی فایرفاکس، از کاربران خواست تا این مرورگر را بر روی سیستم خود به‌روزرسانی کنند.
 
به گزارش پایگاه اینترنتی «انگجت»، آن‌طور که آژانس زیرساخت و امنیت سایبری آمریکا (CISA) می‌گوید، این اکسپلویت به هکرها اجازه می‌دهد تا کنترل سیستم‌های آسیب‌پذیر وآلوده را به دست گیرند.
 
آسیب‌پذیری روز صفر (Zero-day Vulnerability) حفره یا نقصی در یک اپلیکیشن است که برنامه نویسان تنها صفر روز از زمان شناسایی باگ تا مقاوم کردنش در برابر حملات سایبری احتمالی هکرها زمان دارند.
 
از همین رو پس از آن که موزیلا دو آپدیت امنیتی مهم منتشر کرد، وزارت امنیت داخلی آمریکا از کاربران خواست تا مرورگر فایرفاکس خود را به‌روزرسانی کنند.
 
یکی از سخنگویان شرکت موزیلا با انتشار بیانیه‌ای گفت: شرکت امنیتی چینی Qihoo ۳۶۰ روز سه شنبه ۷ ژانویه سال ۲۰۲۰، وجود یک آسیب‌پذیری را گزارش کرد که در حملات هدفمند به یک شبکه محلی مورد استفاده قرار گرفته بود. ما نیز برای رفع و رجوع این آسیب‌پذیری صبح روز بعد آپدیت‌هایی را برای فایرفاکس منتشر کردیم.
 
این سومین اکسپلویتی است که موزیلا در کمتر از یک سال پچ کرده است. این شرکت تابستان گذشته در کمتر از یک هفته دو باگ اساسی در مرورگر خود پیدا کرد که هردوی آن‌ها مورد سوءاستفاده جدی هکرها قرار گرفته بودند.
 
برای تضمین امنیت خود فایرفاکس ۷۲.۰.۱ یا ESR ۶۸.۴.۱ را دانلود کنید.

فایرفاکس به زودی درخواست ارسال نوتیفیکیشن سایت‌ها را پنهان می‌کند

 
موزیلا به منظور کاهش نمایش پاپ آپ های مزاحم در مرورگر فایرفاکس، در حال ایجاد تغییراتی در نحوه ارسال درخواست نوتیفیکیشن در این مرورگر است.
 
موزیلا با انتشار پستی در وبلاگ خود اعلام کرده که در فایرفاکس 72 که ماه ژانویه سال آینده میلادی منتشر می شود، درخواست نمایش نوتیفیکیشن ها در نسخه دسکتاپ در قالب یک آیکون کوچک در نوار URL نمایش داده خواهد شد و کاربران برای مشاهده درخواست ها باید روی آن کلیک کنند. در ویرایش فعلی این مرورگر، با بازدید کردن از سایت نوتیفیکیشن بزرگی روی صفحه نمایش داده می شود.
 
 
در فایرفاکس 72، درخواست ارسال نوتیفیکیشن ها در قالب آیکونی کوچک در آدرس بار نمایش داده می شوند.
 
موزیلا در ادامه پست خود محدود کردن درخواست ارسال نوتیفیکیشن ها را عدم محبوبیت آنها در بین کاربران عنوان کرده است. نوتیفیکیشن ها روشی راحت برای ارسال آپدیت ها به کاربران پس از بسته شدن تب ها هستند، ولی تحقیقات موزیلا نشان داده حدود 99 درصد از درخواست ها توسط کاربران پذیرفته نمی شوند و 48 درصد از آنها نیز به طور آگاهانه توسط کاربران رد می شوند.
 
نوتیفیکیشن ها نه تنها اعصاب خورد کن هستند، بلکه در بسیاری از موارد توسط سایت های مخرب برای تشویق کاربر به دانلود بدافزارها و یا برای نمایش تبلیغات منحرف کننده استفاده می شوند.
 
تغییرات در نحوه نمایش نوتیفیکیشن ها ماه ژانویه به مرورگر فایرفاکس اضافه می شوند. البته فایرفاکس 70 با تغییرات جزئی در چگونگی نمایش نوتیفیکیشن ها چندی پیش منتشر شد. در این ویرایش زمانی که کاربر از سایتی بازدید می کند، مرورگر به جای نمایش گزینه «Not Now»، گزینه «Never Allow» را نمایش می دهد و سایت ها دیگر نمی توانند به طور پی در پی به کاربر درخواست نمایش نوتیفیکیشن ارسال کنند.
 
فایرفاکس، اولین مرورگری است که به طور رسمی مسدود کردن ارسال نوتیفیکیشن ها را اعلام می کند. البته گوگل نیز در حال آزمایش قابلیتی مشابه برای مرورگر کروم است.

هکرهای روس کروم و فایرفاکس را دستکاری کرده اند

 
براساس گزارش جدید کسپراسکای گروهی از هکرهای روسی با استفاده از روشی جدید مرورگرهای کروم و فایرفاکس را دستکاری کرده اند.
 
به نقل از زد دی نت،  بسیاری از هکرها فقط از شکاف های امنیتی موجود در مرورگرهای وب استفاده می کنند اما اکنون یک گروه از آنها پا را فراتر نهاده است. شرکت امنیت  سایبری«کسپراسکای» در یک گزارش به تلاش های یک گروه از هکرهای روسی به نام Turla اشاره کرده تا با ایجاد تغییراتی در مرورگرهای کروم و فایرفاکس ترافیک رمزگذاری شده TLS را دستکاری کنند. هدف اصلی این هکرها از این عملیات تغییر شیوه ایجاد اتصال HTTPS در مرورگر است.
 
این گروه از هکرها نخست  سیستم ها را به یک ویروس تروژان از راه دور به نام Reductor مبتلا می کردند و با کمک آن مرورگرها  را دستکاری می کردند. در مرحله بعد  هکرها  گواهینامه های دیجیتال خود را در میزبان های مبتلا به ویروس نصب می کردند. این روند به هکرها اجازه می دهد هرگونه ترافیکTLS  که از سیستم میزبان نشات می گیرد را متوقف کنند.
 
در مرحله دوم آنها کروم و فایرفاکس را طوری دستکاری می کردند تا توابع PRNG مورد نظر هکرها را فعال کند. این توابع هنگام تولید اعداد تصادفی مورد نیاز برای فرآیند مذاکره و ایجاد دستکاری های جدید TLS برای اتصالات HTTPS استفاده می شوند.
 
هکرهای Turla با استفاده از توابع دستکاری شده PRNG هرگونه اتصالات جدیدTLS را دستکاری می کردند. 
 
البته در گزارش کسپراسکای به دلیل انجام این نوع عملیات هک اشاره نشده است.

از حذف لایک در فیس‌بوک تا غیرفعال شدن Flash در فایرفاکس

 
نشریه فوربز در گزارشی به اخبار دنیای فناوری در هفته اخیر پرداخته است که بر کسب و کارها و کاربران تاثیر می‌گذارد. در این یادداشت، به سه مورد از این تغییرات اشاره می‌کنیم.
 
فیس‌بوک تصمیم دارد لایک‌ها را پنهان کند: فیس‌بوک اعلام کرده که احتمالا Likeها را در News Feed خود حذف خواهد کرد. اینستاگرام که تحت مالکیت فیس‌بوک است، در حال حاضر در حال آزمایش این رویکرد مشابه در هفت کشور است. ایده اصلی این است که این روش باعث می‌شود کاربران خودشان را با آنچه می‌بینند، مقایسه نکنند و احساس بدی نداشته باشند که پست‌هایشان لایک‌های زیادی دریافت نمی‌کند. متخصصان معتقدند این حرکت ممکن است بر درآمد تبلیغات تاثیر منفی داشته باشد و فیس‌بوک باید به طور جدی، به این مساله فکر کند. از سوی دیگر،  ممکن است کسب و کارهایی که به این شبکه‌های اجتماعی وابسته‌اند و از لایک‌ها به عنوان شاخصی برای تعیین وضعیت خود استفاده می‌کنند، سردرگم شوند. 
 
گوگل، تب‌های کروم را تغییر می‌دهد: گوگل اعلام کرده است که تصمیم دارد گزینه‌های تب (Tab) را تغییر دهد. این گزینه‌ها در حال‌حاضر و در نسخه جدید کروم تغییر کرده‌اند. بر اساس گزارش وب‌سایت خبری ZDNet  ویژگی‌هایی مثل بوک‌مارک کردن هم در تب‌ها حذف شده است.  گوگل در گذشته بارها از سوی کاربرانی که در مورد تغییرات شاکی بوده‌اند، مورد انتقاد واقع شده است. مهم‌تر اینکه برخی امیدوارند توسعه‌دهنده‌های کروم زمان بیشتری را صرف این کرده باشند که مصرف باتری دستگاه‌ها به دلیل استفاده از کروم، کاهش یابد. 
 
Flash جایی در فایرفاکس ۶۹، ندارد: موزیلا (Mozilla) هفته پیش فایرفاکس ۶۹ (Firefox 69) را منتشر کرد. در این نسخه Flash فعال نیست. این امر به معنای این است که دیگر نمی‌توان انتخاب کرد که در کدام سایت‌ها Flash به صورت اتوماتیک فعال باشد و به این ترتیب، کاربر مجبور است Flash  را برای هر سایت در هر بازدید فعال کند. 

موزیلا پروتکل اینترنت امن DoH را به تدریج برای تمام کاربران فعال می کند

 
موزیلا قصد دارد در مرورگر فایرفاکس پشتیبانی از DNS روی HTTPS یا همان پروتکل DoH را به صورت پیشفرض برای برخی از کاربران آمریکا فعال کند. این تغییر تا پایان ماه سپتامبر انجام خواهد شد.
 
این شرکت از سال 2017 تست پشتیبانی از DoH در فایرفاکس را آغاز کرده بود. آزمایشات اخیر موفقیت آمیز بوده‌اند و به همین خاطر موزیلا برنامه‌هایی برای انتشار این پروتکل در نسخه جدید و برای گروه کوچکی از کاربران در سر دارد. در صورتی که این تست هم با موفقیت انجام شود DoH برای کاربران بیشتری در دسترس قرار خواهد گرفت.
 
پروتکل DoH به فایرفاکس این امکان را می‌دهد تا درخواست‌های DNS را به صورت ترافیک عادی HTTPS به سرورهای خاصی که با DoH سازگار هستند بفرستد. این سرورها DoH resolver نام دارند. در واقع با این کار درخواست DNS در ترافیک داده‌های HTTPS مخفی می‌شود.
 
 
وقتی DoH در فایرفاکس فعال شود این مرورگر از تنظیمات DNS ای که در سیستم عامل برای آن تعریف شده چشم‌پوشی می‌کند و از  DoH resolvers های تعریف شده در خود مرورگر استفاده می‌کند.
 
با انتقال تنظیمات سرور DNS از سیستم عامل به مرورگر و با رمزگذاری ترافیک DNS، در واقع DoH ترافیک را از سرویس دهنده‌های اینترنت، نرم‌افزارهای محلی کنترل والدین، نرم‌افزارهای آنتی ویروس، فایروال‌ها، فیلترهای ترافیکی و تقریبا هرگونه عامل شخص ثالثی که قصد رهگیری ترافیک کاربر را دارد پنهان می‌کند.
 
به همین دلایل هم بسیاری از مدافعان امنیت از قرار گرفتن چنین قابلیتی در فایرفاکس خشنود شدند و از آن سو مقامات و شرکت‌های سرویس‌دهنده اینترنت استقبال خوبی از این طرح نداشتند. در پی این نارضایتی حتی سازمان‌های مختلف انگلستان از موزیلا با لقب تبهکار اینترنتی یاد کردند.
 
در واقع سرویس‌دهنده‌های اینترنت برای فیلتر کردن سایت‌های نامناسب و خلاف قوانین کشورها و همچنین جمع‌آوری اطلاعات و تاریخچه فعالیت‌های وبگردی کاربران و فروش آن‌ها به آگهی دهندگان، ترافیک DNS را پایش می‌کنند. اما با وجود DoH آن‌ها دیگر قادر به پایش ترافیک کاربران نخواهند بود.
 
البته موزیلا هم با وجود این اعتراضات اعلام کرده که تلاش می‌کند تا مشکلاتی که در این حوزه وجود دارد را به حداقل برساند. مثلا این شرکت اعلام کرده که پس از اجرای پروتکل DoH برای کاربران، مکانیزمی فراهم می‌کند تا کاربران نتوانند از این پروتکل برای دور زدن فیلتر سایت‌های غیر قانونی استفاده کنند و نرم‌افزارهای کنترل والدین و آنتی‌ویروس‌ها هم در عملکردشان به مشکل برنخورند.

کروم و فایرفاکس آدرس سایت‌های اینترنتی را حذف می‌کنند

توسعه دهندگان مرورگر اینترنتی کروم گوگل و فایرفاکس موزیلا گواهینامه‌های معتبر Extended Validation را معرفی کردند و نام یک شرکت را در بخش نوار آدرس‌های اینترنتی نرم‌افزارهای خود برای سایت‌های مبتنی بر فناوری HTTPS به نمایش گذاشتند.
 
در نسخه «کروم ۷۷» مرورگر اینترنتی گوگل که قرار است سپتامبر امسال روانه بازار شود، سایت‌هایی که مبتنی بر گواهینامه Extended Validation (EV) توسعه یافته‌اند، فضایی را برای نمایش نام سایت در بخش نوار آدرس به خود اختصاص نمی‌دهند.
 
فرآیند مشابه برای «فایرفاکس ۷۰» نیز اتفاق می‌افتد و طی آن نسخه جدید مرورگر اینترنتی موزیلا که ماه اکتبر روانه بازار می‌شود، سایت‌های اینترنتی را به صورت مشابه نمایش می‌دهد.
 
هر دو شرکت موزیلا و گوگل استاندارد EV را برای نمایش اطلاعات آدرس سایت‌ها به کار رفته‌اند و کاربران می‌توانند با کلیک کردن روی آنها، اطلاعات مربوط به گواهینامه سایت مربوطه را در اختیار بگیرند. موزیلا در این خصوص توضیح داد تغییرات مبتنی بر شاخص‌های EV مربوط به «کاهش فضای اطلاعات EV و دسترسی آسان به سایت‌های اینترنتی» در نسخه بعدی مرورگر اینترنتی شرکت اعمال می‌شود.
 
گواهینامه‌های EV از دهه‌ها قبل روانه بازار شدند و در نخستین روزهای معرفی زمانی که بیشتر مردم برای گشتو گذارهای اینترنتی هنوز دستگاه موبایلی نداشتند، اعتماد بیشتری را برای خریدهای آنلاین ایجاد می‌کردند.

موزیلا در رقابت با اپل خدمات خبری ارائه می دهد

بنیاد موزیلا با تنوع بخشیدن به سرویس های خود به کاربران علاقمند خدمات اشتراک اخبار ارائه می دهد که هزینه استفاده از آن ۵ دلار در ماه است.
 
به گزارش انگجت، پیش از این، اپل با راه اندازی خدمات اپل نیوز، در این زمینه فعال شده بود. حالا بعد از گذشت سه ماه از اعلام خبر اولیه راه اندازی خدمات یادشده، موزیلا کاربران علاقمند را به مشارکت در نسخه بتای خدمات یادشده تشویق کرده است.
 
موزیلا در تبلیغات خود برای دعوت از کاربران به استفاده از این خدمات، آن را اینترنت خالی از آگهی فایرفاکس معرفی کرده و افزوده که از این طریق کاربران می توانند به محتوا و اخبار مدنظر خود دسترسی داشته باشند، بدون آنکه مجبور به مشاهده انبوهی از آگهی ها و تبلیغات باشند.
 
این شرکت افزوده هزینه دریافتی از کاربران با سایت های مورد مطالعه افراد به اشتراک گذاشته می شود و آنها از این طریق درآمد بیشتری کسب می کنند که همین امر باعث می شود آنها بتوانند محتوای بیشتری را بدون نیاز به نمایش تبلیغات تولید کرده و ارائه دهند.
 
برخی نشریات، سایت ها و سرویس های خبری برای همکاری با خدمات یادشده اعلام آمادگی کرده اند که از جمله آنها می توان به آتلانتیک، اسلیت، بازفید، یو اس ای تودی و غیره اشاره کرد.