الرئيسية / أمن معلومات / أخبار أمنية / الثغرات الامنية تجبر موزيلا على إطلاق فايرفوكس 67.0.4

الثغرات الامنية تجبر موزيلا على إطلاق فايرفوكس 67.0.4

بعد ظهور مشكلة عدم الحصانة التي تم استغلالها بشكل نشط في “Firefox 67.0.3″، تحذّر Mozilla الآن مستخدميها حيث اكتشفوا أن المهاجمين يستغلون فيها المستخدمين.

المشكلة (CVE-2019-11708) المصححة حديثًا هي مشكلة عدم حصانة “الهروب من صندوق الحماية”، والتي إذا تم ربطها مع خلل “تشويش النوع”  (CVE-2019-11707)الذي تم تصحيحه مسبقًا فإنها تسمح للمهاجم عن بُعد بتنفيذ تعليمات برمجية عشوائية على الضحايا مستخدميّ أجهزة الكمبيوتر عن طريق إقناعهم بزيارة موقع ضار.

يعتبر “Sandboxing” من المستعرضات وهو آلية أمان تحافظ على عمليات الأطراف الخارجية معزولة ومحصورة على المستعرض، مما يمنعها من إتلاف الأجزاء الحساسة الأخرى في نظام تشغيل الكمبيوتر.

وضّح استشاري في شركة Mozilla الاستقصاء غير الكافي للمعلومات التي تم تمريرها مع الهجمة قائلًا انه: ” يمكن أن تؤدي رسالة IPC  المفتوحة بين العمليات الفرعية إلى فتح محتوى ويب لعملية الأصل غير الخاضعة، والتي يتم اختيارها بواسطة عملية تابعة مخترقة”.

كانت Mozilla على دراية بالمسألة الأولى (CVE-2019-11707)   منذ أبريل عندما أبلغ أحد الباحثين في “Google Project Zero” الشركة، لكنها علمت بالمشكلة الثانية (CVE-2019-11708) والهجمات عندما بدأ المهاجمون في استغلال كلتا العيوب معًا لاستهداف الموظفين من منصة “Coinbase” ومستخدمي شركات العملة المشفرة الأخرى.

تعقيبًا للحادثة نشر خبير أمان macOS “باتريك وارد” تقريراً كشف فيه أن حملة منفصلة ضد مستخدمي العملة المشفرة يستخدمون Firefox لتثبيت برامج ضارة على نظام ماكنتوش في أجهزة الكمبيوتر المستهدفة. كما انه ليس من الواضح ما إذا كان المهاجمون قد اكتشفوا بشكل مستقل أول ثغرة أمنية في الوقت المناسب عندما تم الإبلاغ عن ذلك بالفعل إلى Mozilla أو حصلوا على معلومات سرية عن الأخطاء من خلال طريقة أخرى.

تجاوبت الشركة Mozilla مُصدرة تصحيحات Firefox لمنع هجمات الإنترنت الإصدار “67.0.4 Firefox” و ” Firefox ESR 60.7.2″ اللذين يعالجان كلتا المشكلتين، مما يمنع المهاجمين من التحكم عن بعد في الأنظمة الخاصة بالمستخدم. وعلى الرغم من قيام Firefox بتثبيت آخر التحديثات المتاحة تلقائيًا، إلا أنه لا يزال يُنصح المستخدمين بالتأكد من تشغيل “Firefox 67.0.4” أو إصدار أحدث.

من المتوقع أن يُصدر “Tor Project” مرة أخرى إصدارًا جديدًا من مستعرض الخصوصية الخاص به قريبًا جدًا لتصحيح الخطأ الثاني CVE-2019-11708)) أيضًا.

بعد تصحيح مشكلة عدم الحصانة التي تم استغلالها بشكل نشط في Firefox 67.0.3 . تحذر Mozilla الآن ملايين مستخدميها نسخة عدم الحصانة اكتشفوا أن المهاجمين يستغلون فيها الضحيه.

المشكلة المصححة حديثًا (CVE-2019-11708) هي مشكلة عدم حصانة “الهروب من صندوق الحماية” ، والتي إذا تم ربطها مع خلل “تشويش النوع” الذي تم تصحيحه مسبقًا(CVE-2019-11707) ، فإنها تسمح للمهاجم عن بُعد بتنفيذ تعليمات برمجية عشوائية على الضحايا أجهزة الكمبيوتر فقط عن طريق إقناعهم بزيارة موقع ضار.

يعتبر Sandboxing من المستعرضات بمثابة آلية أمان تحافظ على عمليات الأطراف الخارجية معزولة ومحصورة على المستعرض ، مما يمنعها من إتلاف الأجزاء الحساسة الأخرى في نظام تشغيل الكمبيوتر.

يشرح الاستشاري في Mozilla “أن الاستقصاء غير الكافي للمعلومات التي تم تمريرها مع الهجمه : يمكن أن تؤدي رسالةIPC المفتوحة بين العمليات الفرعية إلى فتح محتوى ويب لعملية الأصل غير الخاضعه والتي يتم اختيارها بواسطة عملية تابعة مخترقة”.

كانت Mozilla على دراية بالمسألة الأولى منذ أبريل عندما أبلغ أحد الباحثين في Google Project Zero الشركة ، لكنها علمت بالمشكلة الثانية والهجمات  فقط عندما بدأ المهاجمون في استغلال كلتا العيوب معًا لاستهداف الموظفين من منصة Coinbase ومستخدمي شركات العملة المشفرة الأخرى.

نشر خبير أمان macOS ، باتريك وارد ، تقريراً كشف فيه أن حملة منفصلة ضد مستخدمي العملة المشفرة تستخدم نفس فايرفوكس  لتثبيت برامج ضارة على نظام ماكنتوش على أجهزة الكمبيوتر المستهدفة.

 ليس من الواضح ما إذا كان المهاجمون قد اكتشفوا بشكل مستقل أول ثغرة أمنية في الوقت المناسب عندما تم الإبلاغ عن ذلك بالفعل إلى Mozilla أو حصلوا على معلومات سرية عن الأخطاء من خلال طريقة أخرى.

تثبيت تصحيحات Firefox لمنع هجمات الإنترنت

على أي حال ، أصدرت الشركة الآن الإصدار 67.0.4 منFirefox و Firefox ESR 60.7.2 اللذين يعالجان كلتا المشكلتين ، مما يمنع المهاجمين من التحكم عن بعد في الأنظمة الخاصة بك.

على الرغم من قيام Firefox بتثبيت آخر التحديثات المتاحة تلقائيًا ، إلا أنه لا يزال يُنصح المستخدمين بالتأكد من تشغيل Firefox 67.0.4 أو إصدار أحدث.

 من المتوقع أيضًا أن يصدر Tor Project مرة أخرى إصدارًا جديدًا من مستعرض الخصوصية الخاص به قريبًا جدًا لتصحيح الخطأ الثاني أيضًا.

عن sara

شاهد أيضاً

أحدث ميزة أمان في إنستقرام تتيح لك إدارة أذونات تطبيقات الجهات الخارجية

‫أعلنت الشبكة الاجتماعية إنستقرام عن إطلاق ميزة جديدة تتيح للمستخدمين التحكم في البيانات التي يشاركونها …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *