موزیلا برای رفع تعدادی آسیبپذیری Zero-Day در چندین محصول خود که در مسابقهی هک Pwn2Own Vancouver 2022 مورد بهرهبرداری قرار گرفته بودند، بروزرسانی امنیتی منتشر کرده است.
این آسیبپذیریها دارای شدت بحرانی بوده و یک مهاجم با بهرهبرداری موفق از این آسیبپذیریها میتواند امکان اجرای کدهای مخرب جاوا اسکریپت را در دستگاههای موبایل و دسکتاپ دارای نسخهی آسیبپذیر فایرفاکس به دست آورد.
آسیبپذیریها به شرح زیر است:
این آسیبپذیریها محصولات Firefox، Firefox ESR، Firefox for Android و Thunderbird را تحت تأثیر قرار میدهند.
آسیبپذیریهای مذکور در نسخههای Firefox 100.0.2، Firefox ESR 91.9.1، Firefox for Android 100.3 و Thunderbird 91.9.1 برطرف شدهاند.
به کاربران و مدیران توصیه میشود، هر چه سریعتر مرورگر فایرفاکس خود را به نسخههای جدید بروزرسانی نمایند.
این آسیبپذیریها دارای شدت بحرانی بوده و یک مهاجم با بهرهبرداری موفق از این آسیبپذیریها میتواند امکان اجرای کدهای مخرب جاوا اسکریپت را در دستگاههای موبایل و دسکتاپ دارای نسخهی آسیبپذیر فایرفاکس به دست آورد.
آسیبپذیریها به شرح زیر است:
- CVE-2022-1802: این آسیبپذیری با شدت بحرانی، یک نقص Prototype Pollution است که در پیادهسازی موتور جاوا اسکریپت Top-Level Await وجود دارد و به واسطهی ساختار Prototype-based inheritance به وجود آمده است. این آسیبپذیری به مهاجم اجازه میدهد متدهای یک شیء Array را با استفاده از prototype pollution در جاوا اسکریپت خراب کرده و به اجرای کد دلخواه با سطح دسترسی بالا دست یابد.
- CVE-2022-1529: این آسیبپذیری با شدت بحرانی، به مهاجمان اجازه میدهد تا در حملات prototype pollution، از اعتبارسنجی نامناسب ورودی در شاخصگذاری شیء جاوا، سوءاستفاده کنند. بدین صورت که مهاجم میتواند یک پیام به فرآیند (process) والد ارسال نماید، جایی که در آن، محتویات برای شاخصگذاری مضاعف (double-index) در یک شیء جاوا اسکریپت مورد استفاده قرار میگیرند، که میتواند منجر به prototype pollution و در نهایت اجرای جاوا اسکریپت تحت کنترل مهاجم در فرآیند والد که دارای حق دسترسی بالا است شود.
این آسیبپذیریها محصولات Firefox، Firefox ESR، Firefox for Android و Thunderbird را تحت تأثیر قرار میدهند.
آسیبپذیریهای مذکور در نسخههای Firefox 100.0.2، Firefox ESR 91.9.1، Firefox for Android 100.3 و Thunderbird 91.9.1 برطرف شدهاند.
به کاربران و مدیران توصیه میشود، هر چه سریعتر مرورگر فایرفاکس خود را به نسخههای جدید بروزرسانی نمایند.