موزیلا آپدیت جدیدی را برای مرورگر فایرفاکس خود منتشر کرده است که هیچ ویژگی جدیدی ندارد اما دو حشره خطرناک آن را از بین می برد. به کاربران توصیه می شود این کار را در اسرع وقت انجام دهند. فایرفاکس نسخه 97.0.2 زیرا ظاهرا هکرها از این دو آسیب پذیری سوء استفاده می کنند.
بهروزرسانی جدید مرورگر موزیلا دو باگ صفر روز را که هکرها قبلاً هدف قرار دادهاند، برطرف میکند. این شرکت در یادداشتی گفت: “ما گزارش هایی مبنی بر سوء استفاده از این اشکالات دریافت کرده ایم.” در حال حاضر اطلاعات زیادی در مورد این آسیبپذیریها وجود ندارد و این احتمال وجود دارد موزیلا نمی خواهد مهاجمان به جنبه های فنی رفع اشکال دسترسی داشته باشند. با این حال، جزئیات کمی در مورد هر دو آسیب پذیری ارائه شده است.
شرح خطاهای فایرفاکس
- CVE-2022-26485 آسیب پذیری پس از نرم افزار رایگان در مدیریت پارامترهای XSLT کد مخرب آنچه را که می خواهید اجرا کنید. تنها کاری که باید انجام دهید این است که کاربر را به یک وب سایت جعلی اما آلوده به بدافزار هدایت کنید.
- CVE-2022-26486 (یک آسیبپذیری پس از نرمافزار رایگان در چارچوب WebGPU IPC): این باگ بخشی از «فرار از جعبههای ایمنی» است. این آسیبپذیریها میتوانند به تنهایی یا همراه با یک باگ RCE مورد سوء استفاده قرار گیرند تا بدافزار از اقدامات امنیتی مرورگر جلوگیری کند.
هر دو باگ به عنوان آسیب پذیری Post-Free نامیده می شوند. در برنامه نویسی، این اصطلاح به برنامه ای اطلاق می شود که دسترسی به حافظه سیستم را مسدود می کند و مقداری حافظه را برای سایر برنامه ها آزاد می کند. اما در برخی موارد برنامه ها هنوز در حال استفاده هستند. حافظه ادامه می دهند. این بر عملکرد سایر برنامه هایی که نیاز به استفاده از حافظه دارند تأثیر می گذارد.
این مشکل می تواند باعث از کار افتادن برنامه ها و حتی گاهی اوقات خرابی اطلاعات آنها شود. مهاجمان می توانند از هر دوی این آسیب پذیری ها برای اجرای کدهای غیرمجاز خود سوء استفاده کنند.
