شرکت موزیلا در تازه ترین خبر خود اعلام کرده است که، دو باگ جدید روزه صفر در مرورگر موزیلا فایرفاکس شناسایی کرده و به  همین دلیل مجبور شده است که به‌روزرسانی‌های نرم‌افزاری جدید در مرورگر فایرفاکس خود اعمال کند تا حاوی امنیت بیشتر باشد.

این دو باگ جدید که به‌عنوان CVE-2022-26485 و CVE-2022-26486 نامیده می‌شوند، به‌عنوان مشکلاتی توصیف شده‌اند که بر پردازش پارامترهای تبدیل‌ زبان (XSLT) و در چارچوب ارتباطات بین فرایندی (WebGPU) تأثیر می‌گذارند.

XSLT یک زبان مبتنی بر XML است که برای تبدیل اسناد XML به صفحات وب یا اسناد PDF استفاده می شود، در حالی که WebGPU یک استاندارد وب در حال ظهور است که به عنوان جانشین کتابخانه گرافیکی جاوا اسکریپت فعلی WebGL معرفی شده است.

به بیان ساده تر شرح این دو نقص را می توان اینگونه بیان کرد که در نقص اول حذف یک پارامتر XSLT در حین پردازش می تواند منجر به سوء استفاده از آن در مرورگر شود، و در نقص دوم یک پیام غیرمنتظره در چارچوب WebGPU IPC می‌تواند منجر به سوء استفاده از آن در sandbox شود.

اگر چه شرکت موزیلا هیچ مشخصات فنی مرتبط با  نحوه نفوذ ها را به اشتراک نگذاشته اما اعلام کرده که گزارش‌هایی از موارد مختلف حملات را داشته و این موارد می تواند این دو آسیب‌پذیری را تصدیق کنند.

هر چند که حملات هدفمند با اعمال نفوذ باگ روز صفر در فایرفاکس در مقایسه با مرورگرهای دیگر مثل Apple Safari و Google Chrome یک اتفاق نسبتاً نادر بوده است، اما با این حال شرکت موزیلا توانسه طی دو سال گذشته چندین باگ و نقص فعال در مرورگر خود را برطرف کند، از همین رو و با توجه به سوء استفاده  فعال از چنین نقص هایی، این شرکت به کاربران مرورگر خود توصیه کرده است تا مرورگر خود را هر چه سریعتر اصلاح و ارتقا دهند.

نظرات

نظر (به‌وسیله فیس‌بوک)