نسخهی جدید مرورگر فایرفاکس (Mozilla Firefox 86) که در تاریخ پنجم اسفند ماه ۱۳۹۹ منتشر شده است با وصله شدن برخی آسیبپذیری های امنیتی و ارائه برخی ویژگیهای جدید جهت بهبود حریم خصوصی، همراه بوده است.
به عنوان مثال در آسیبپذیریهای CVE-2021-23978 و CVE-2021-23979 به دلیل وجود ایراداتی در امنیت حافظه، مهاجم امکان اجرای کد دلخواه بر روی سیستمهایی که از نسخه وصله نشدهی فایرفاکس استفاده میکنند را خواهد داشت.
در این بین سه آسیبپذیری با شدت بالا به شرح زیر وصله شده است:
– CVE-2021-23968: این آسیبپذیری به نقض سیاست امنیت محتوا (CSP) مربوط میشود. اگر سیاست امنیت محتوا پیمایش frame را مسدود کند، آدرس کامل مقصد redirectی که در frame انجام شده، برخلاف URI اصلی frame، در گزارش تخلف ثبت میشود.
این عملیات میتواند منجر به نشت اطلاعات حساسی که در این URIها وجود دارد شود.
– CVE-2021-23969: این آسیبپذیری به نقض پیشنویس سیاست امنیت محتوا W3C مربوط میشود که در آن در برخی انواع redirect، فایرفاکس به اشتباه فایل منبع را بهعنوان مقصد redirectها قرار داده است.
– CVE-2021-23970: این آسیبپذیری ناشی از شروع به کار برخی assertionها در یک کد چندنخی WASM (WebAssembly) است.
فایرفاکس تاکنون جزییات بیشتری از این آسیبپذیریها منتشر نکرده است.
تعداد چهار آسیبپذیری با شدت متوسط و سه آسیبپذیری با شدت پایین نیز در این نسخه وصله شده است.
توصیه میشود مرورگر فایرفاکس خود را جهت جلوگیری از بروز مشکلات امنیتی بلافاصله بروزرسانی کنید.
یک نظر