موزیلا با یک آپدیت فوری دو آسیب‌پذیری خطرناک فایرفاکس را برطرف کرد

موزیلا به‌تازگی آپدیت جدیدی برای مرورگر فایرفاکس منتشر کرده که شامل ویژگی جدید و خاصی نیست، اما دو باگ خطرناک را برطرف می‌کند. به کاربران توصیه شده که هرچه سریع‌تر فایرفاکس v97.0.2 را نصب کنند، چون ظاهرا هکرها در حال استفاده از این دو آسیب‌پذیری هستند.

آپدیت جدید مرورگر موزیلا دو باگ روز صفر را برطرف می‌کند که هکرها در حال حاضر آن‌ها را هدف قرار داده‌اند. این شرکت در یادداشتی در این باره می‌گوید: «گزارش‌هایی به دست ما رسیده که از سوءاستفاده از این باگ‌ها خبر می‌دهند.» فعلا اطلاعات زیادی درباره این آسیب‌پذیری‌ها منتشر نشده و احتمالا چون موزیلا نمی‌خواهد مهاجمان به جنبه‌های فنی سوءاستفاده از باگ‌ها دسترسی پیدا کنند. با این حال جزئیات کمی درباره هر دو آسیب‌پذیری ارائه شده است.

شرح باگ‌های فایرفاکس

• CVE-2022-26485 (آسیب‌پذیری Use-after-free در پردازش پارامتر XSLT): از این باگ در بخش «اجرای از راه دور کد» (RCE) استفاده شده، یعنی مهاجم بدون دسترسی به مجوز یا حسابی بر روی کامپیوتر قربانی می‌تواند کد مخرب مورد نظر خود را اجرا کند. برای انجام این کار فقط کافیست کاربر به یک وب‌سایت جعلی اما آلوده به بدافزار هدایت شود.
• CVE-2022-26486 (آسیب‌پذیری Use-after-free در فریم‌ورک WebGPU IPC): این باگ بخشی از «گریز سندباکس» است. این دسته از ایرادات امنیتی می‌توانند به خودی خود یا در ترکیب با یک باگ RCE مورد سوءاستفاده قرار بگیرند تا بدافزار از دست تدابیر امنیتی مرورگر فرار کند.

هر دو باگ تحت عنوان آسیب‌پذیری Use-after-free معرفی شده‌اند. این عبارت در برنامه‌نویسی به اپلیکیشنی اشاره می‌کند که دسترسی به حافظه سیستم را متوقف می‌سازد و اساساً مقداری از حافظه را برای سایر اپلیکیشن‌ها آزاد می‌کند. ولی در برخی مواقع، اپلیکیشن‌ها همچنان به استفاده و مشغول نگه داشتن حافظه ادامه می‌دهند. این اتفاق بر عملکرد سایر برنامه‌هایی که خواستار استفاده از حافظه هستند، اثر می‌گذارد.

این مشکل می‌تواند موجب کرش برنامه‌ها شود و حتی گاهی اوقات داده‌های آن‌ها را تخریب کند. همچنین، مهاجمان می‌توانند از این دو آسیب‌پذیری برای اجرای کدهای غیرمجاز خود استفاده کنند.