اخیراً چندین #‫آسیب‌پذیری در Mozilla Firefoxو Firefox Extended support release(ESR) کشف شده است که شدیدترین آن‌ها ممکن است امکان اجرای کد دلخواه را داشته باشد. همانطور که می‌دانیم Mozilla Firefoxیک مرورگر وب است اما Mozilla Firefox ESRنسخه‌ای از این مرورگر وب است که قرار است در سازمان‌های بزرگ مورد استفاده قرار گیرد. سوءاستفاده موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد کد دلخواه خود را در مرورگر سیستم قربانی اجرا کنند. بسته به دسترسی‌های داده شده به برنامه، مهاجم می‌تواند اقدام به نصب برنامه، بازدید یا تغییر در اطلاعات موجود یا حتی ایجاد حساب‌های کاربری جدید نماید. اگر در تنظیمات و پیکربندی به نکات امنیتی توجه شود، حتی سوءاستفاده از شدیدترین این آسیب‌پذیری‌ها نیز تأثیر کمتری را نسبت به حالت تنظیمات پیش‌فرض خواهد داشت.

 

در حال حاضر گزارشی در مورد بهره‌برداری از این آسیب‌پذیری‌ها منتشر نشده است.

 

سیستم‌های تأثیرپذیر:

 

Firefox versions prior to 71

Firefox ESR versions prior to 68.3

جزئیات این آسیب‌پذیری‌ها به شرح زیر است:

 

سرریز بافر heapدر پردازش FEC در WebRTC با شناسه (CVE-2018-6156)

دسترسی خارج از محدوده NSSدر هنگام رمزگذاری با cipher block، (CVE-2019-11745)

استفاده پس از آزادسازی در SFTKSession (CVE-2019-11756)

عدم دسترسی مطلوب به پشته به دلیل مقداردهی نادرست پارامترها درکد (CVE-2019-13722) WebRTC

سرریز بافر در سریالایز کردن‌ متن آشکار (CVE-2019-17005)

استفاده پس از آزادسازی در تابع (CVE-2019-17008)

به‌روزرسانی موقت پرونده‌ها دارای مجوز دسترسی به فرآیندها (CVE-2019-17009)

استفاده‌ پس از آزادسازی هنگام اجرای orientation check (CVE-2019-17010)

استفاده‌ پس از آزادسازی هنگام بازیافت یک سند در antitracking (CVE-2019-17011)

برطرف شدن اشکالات امن‌سازی حافظه در فایرفاکس 71و فایرفاکس ESR 68.3(CVE-2019-17012)

برطرف شدن اشکالات امن‌سازی حافظه در فایرفاکس 71(CVE-2019-17013)

بر طرف شدن مشکل (drag and drop) یک منبع Cross-origin، که به طور اشتباه به عنوان تصویر بارگذاری شده است، که می‌تواند منجر‌به افشای اطلاعات شود. (CVE-2019-17014)

پیشنهادات:

 

توصیه می‌شود اقدامات زیر انجام شود:

 

• به کاربران این مرورگر به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.

 

• برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح مجوز پایین (کاربری غیر از administrative) اجرا کنید.

 

• به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.

 

• اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد

 

• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLPیا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها