تقوم موزيلا بتحديث متصفح فايرفوكس؛ إصلاح نقاط الضعف المتعددة

  • Nov 11, 2023

قامت Mozilla بتصحيح 10 نقاط ضعف في Firefox 2.0 مع التحديث 2.

قامت Mozilla بتصحيح 10 نقاط ضعف في Firefox 2.0 بالتحديث 2.0.0.13. في تحديث في وقت مبكر من يوم الأربعاء، تناول Firefox ما يلي:

  • MFSA 2008-19 XUL متغير انتحال النوافذ المنبثقة (النوافذ المنبثقة لعلامات التبويب المتقاطعة)
  • MFSA 2008-18 اتصال مقبس Java بأي منفذ محلي عبر LiveConnect
  • MFSA 2008-17 مشكلة الخصوصية مع مصادقة عميل SSL
  • MFSA 2008-16 انتحال مُحيل HTTP باستخدام عناوين URL مشوهة
  • MFSA 2008-15 يتعطل مع وجود دليل على تلف الذاكرة (rv: 1.8.1.13)
  • MFSA 2008-14 تصعيد امتيازات JavaScript وتنفيذ التعليمات البرمجية التعسفية

من تلك النصائح الستة، تم تصنيف اثنين منها على أنها حرجة واثنتان كان لهما تأثير كبير. تؤثر الثغرات الأمنية أيضًا على Thunderbird وSeaMonkey. قامت Secunia بتجميع 10 أرقام CVE لهذا التحديث مع الملخص التالي:

تم الإبلاغ عن بعض نقاط الضعف ونقاط الضعف في Mozilla Firefox، والتي يمكن استغلالها من قبل الأشخاص الضارين لتجاوز إجراءات أمنية معينة القيود، والكشف عن معلومات قد تكون حساسة، وإجراء هجمات البرمجة النصية والتصيد الاحتيالي عبر المواقع، وربما تعرض معلومات المستخدم للخطر نظام.

تتضمن التهديدات الشائعة التي تم تناولها في تحديث Firefox ما يلي: CVE-2007-4879، وCVE-2008-1195، وCVE-2008-1233، CVE-2008-1234، CVE-2008-1235، CVE-2008-1236، CVE-2008-1237، CVE-2008-1238، CVE-2008-1240 و CVE-2008-1241.

تم تصنيف أعطال تلف الذاكرة (MFSA 2008-15) على أنها حرجة من قبل Mozilla. موزيلا في استشارتها قال:

قام مطورو Mozilla بتحديد وإصلاح العديد من أخطاء الاستقرار في محرك المتصفح المستخدم في Firefox والمنتجات الأخرى المستندة إلى Mozilla. أظهرت بعض هذه الأعطال دليلاً على تلف الذاكرة في ظل ظروف معينة، ونفترض أنه مع بذل جهد كافٍ، يمكن استغلال بعض هذه الأعطال على الأقل لتشغيل تعليمات برمجية عشوائية.

ffx.png

وكانت الثغرة الحرجة الأخرى هي تصعيد امتيازات جافا سكريبت والتنفيذ التعسفي للتعليمات البرمجية، وفقًا لموزيلا. وقالت موزيلا في تلك الاستشارة:

أبلغ المساهمون في Mozilla moz_bug_r_a4 وBoris Zbarsky وJohnny Stenback عن سلسلة من نقاط الضعف التي تسمح بتشغيل البرامج النصية من محتوى الصفحة بامتيازات مرتفعة. أظهر moz_bug_r_a4 متغيرات إضافية لـ MFSA 2007-25 وMFSA2007-35 (تنفيذ تعليمات برمجية عشوائية من خلال تلوث XPCNativeWrapper). أظهرت نقاط الضعف الإضافية التي تم الإبلاغ عنها بشكل منفصل بواسطة بوريس زبارسكي، وجوني ستينباك، وmoz_bug_r_a4 أن قد يتم إجبار المتصفح على تشغيل تعليمات برمجية JavaScript باستخدام مبدأ خاطئ يؤدي إلى XSS العالمي والتعليمات البرمجية التعسفية تنفيذ.

أما بالنسبة للخلل عالي التأثير، فإن الأكثر إثارة للاهتمام هو اتصال مقبس Java عبر LiveConnect. وقالت موزيلا في تقريرها الاستشاري:

أظهر الباحث الأمني ​​جريجوري فلايشر أن محتوى الويب يتم جلبه عبر الجرة: يمكن للبروتوكول استخدم Java عبر LiveConnect لفتح اتصالات المقبس بمنافذ عشوائية على جهاز المستخدم ("المضيف المحلي"). سبب المشكلة هو التحليل غير الصحيح لأصل المحتوى الذي تم تمريره من المتصفح إلى مكون Java الإضافي. تم تقييم هذا المحتوى بشكل غير صحيح على أنه يحتوي على مضيف فارغ، ويُفترض أنه ملف محلي، وتم السماح له لاحقًا بالاتصال بالمضيف المحلي. قامت Sun بتحديث Java Runtime Environment بإصلاح هذه المشكلة. أضافت Mozilla أيضًا إصلاحًا إلى LiveConnect لحماية المستخدمين الذين ليس لديهم أحدث إصدار من Java.

تم إرسال هذه التصحيحات إلى مستخدمي Firefox في تحديث تلقائي.