نسخهی جدید مرورگر #فایرفاکس (Mozilla Firefox ۸۶) که در تاریخ پنجم اسفند ماه ۱۳۹۹ منتشر شده است با وصله شدن برخی #آسیبپذیری های امنیتی و ارائه برخی ویژگیهای جدید جهت بهبود حریم خصوصی، همراه بوده است. به عنوان مثال در آسیبپذیریهای CVE-۲۰۲۱-۲۳۹۷۸ و CVE-۲۰۲۱-۲۳۹۷۹ به دلیل وجود ایراداتی در امنیت حافظه، مهاجم امکان اجرای کد دلخواه بر روی سیستمهایی که از نسخه وصله نشدهی فایرفاکس استفاده میکنند را خواهد داشت.
در این بین سه آسیبپذیری با شدت بالا وصله شده است که به شرح زیر است: (فایرفاکس تاکنون جزییات بیشتری از آسیبپذیریهای مورد بحث منتشر نکرده است).
CVE-۲۰۲۱-۲۳۹۶۸: این آسیبپذیری به نقض سیاست امنیت محتوا (CSP) مربوط میشود. اگر سیاست امنیت محتوا پیمایش frame را مسدود کند، آدرس کامل مقصد redirectی که در frame انجام شده، برخلاف URI اصلی frame، در گزارش تخلف ثبت میشود. این عملیات میتواند منجر به نشت اطلاعات حساسی که در این URIها وجود دارد، شود.
CVE-۲۰۲۱-۲۳۹۶۹: این آسیبپذیری به نقض پیشنویس سیاست امنیت محتوا W۳C مربوط میشود که در آن، در برخی انواع redirect، فایرفاکس به اشتباه فایل منبع را بهعنوان مقصد redirectها قرار داده است.
CVE-۲۰۲۱-۲۳۹۷۰: این آسیبپذیری ناشی از شروع به کار برخی assertionها در یک کد چندنخی WASM (WebAssembly) است.
تعداد چهار آسیبپذیری با شدت متوسط و سه آسیبپذیری با شدت پایین نیز در این نسخه جدید وصله شده است. توصیه میگردد در اسرع وقت به بهروزرسانی این مرورگر اقدام نمایید.
مراجع
https://www.mozilla.org/en-US/security/advisories/mfsa۲۰۲۱-۰۷
۸ اسفند ۱۳۹۹ برچسبها: اخبار, هشدارها و راهنمایی امنیتی