info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

آسیب‌پذیری بحرانی در مرورگر فایرفاکس

خلاصه: موزیلا یک به‌روزرسانی مهم را برای مرورگر فایرفاکس خود منتشر کرده است. این به‌روزرسانی یک آسیب‌پذیری بحرانی را  وصله می‌کند. هکرها می‌توانند از این آسیب‌پذیری (CVE-2018-5124) برای اجرای کد دلخواه بر روی کامپیوتر قربانی بهره‌برداری کنند. بهره‌برداری از این آسیب‌پذیری به مهاجم امکان نصب برنامه‌ها، ساخت حساب کاربری جدید و نمایش، تغییر یا حذف داده‌ها را می‌دهد. به کاربران توصیه می‌شود که قبل از اینکه هکرها از این آسیب‌پذیری بهره‌برداری کنند،  به‌روزرسانی‌های مورد نظر را اعمال کنند.

 

موزیلا یک به‌روزرسانی مهم را برای مرورگر فایرفاکس خود منتشر کرده است. این به‌روزرسانی یک آسیب‌پذیری بحرانی را  وصله می‌کند. تحقیقات نشان می‌دهد که این آسیب‌پذیری به مهاجمان راه دور امکان اجرای کد مخرب برروی کامپیوترها را می‌دهد.

این به‌روزرسانی فقط یک هفته بعد از اینکه این کمپانی مرورگر فایرفاکس کوانتوم جدید خود یعنی Firefox 58 را با ویژگی‌های جدید (مانند موتور گرافیکی بهبود یافته، بهینه‌سازی عملکرد و وصله‌هایی برای بیش از ۳۰ آسیب‌پذیری) ارائه کرد، منتشر شد.

هکرها می‌توانند از این آسیب‌پذیری (CVE-2018-5124) برای اجرای کد دلخواه بر روی کامپیوتر قربانی بهره‌برداری کنند، این کار فقط با فریب دادن قربانی برای دسترسی به یک لینک یا باز کردن یک فایل که ورودی‌های مخرب را به نرم‌افزار تحت تاثیر واقع شده ارائه می‌کند، انجام می‌شود.

بهره‌برداری از این آسیب‌پذیری به مهاجم امکان نصب برنامه‌ها، ساخت حساب کاربری جدید و نمایش، تغییر یا حذف داده‌ها را می‌دهد.

نسخه‌های مرورگر وب تحت تاثیر واقع شده شامل Firefox 56 (.0,.0.1,.0.2)‎، 57(.0,.0.1,.0.2,.0.3,.0.4)‎ و ۵۸ (.۰) می‌باشند. این آسیب‌پذیری در فایرفاکس ۵۸.۰.۱ رفع شده است و شما می‌توانید آن را از وب‌سایت رسمی این کمپانی دانلود کنید.

این مشکل که توسط یکی از توسعه‌دهندگان موزیلا کشف شد مرورگر فایرفاکس اندروید و Firefox 52 ESR را تحت تاثیر قرار نمی‌دهد.

به کاربران توصیه می‌شود که قبل از اینکه هکرها از این آسیب‌پذیری بهره‌برداری کنند،  به‌روزرسانی‌های مورد نظر را اعمال کنند و از باز کردن لینک‌های ارسال شده در ایمیل‌ها یا پیام‌هایی که از منابع ناشناس یا مشکوک دریافت شده‌اند، اجتناب کنند.

به مدیران نیز توصیه می‌شود که در زمان مرور اینترنت و نظارت بر سیستم‌های بحرانی از یک حساب کاربری غیر ممتاز (unprivileged) استفاده کنند.