آسیب پذیری zero-day در فایرفاکس

موزیلا امروز نسخه ۷۲.۰.۱ مرورگر فایرفاکس و نسخه ۶۸.۴.۱ از فایرفاکس ESR را منتشر کرده این بروز رسانی به منظور پچ کردن یک آسیب پذیری حاد zero-day در این مرورگر بوده که گروهی از هکر ها در حال اکسپلویت کردن آن هستند.

 CVE-2019-17026  یک آسیب پذیری حاد از نوع type confusion است که در کامپایلر IronMonkey JIT از engine جاوا اسکریپت SuperMonkey موزیلا وجود دارد.

بطور کلی آسیب پذیری های type confusion زمانی بوجود می آیند که کد آبجکت هایی که به آن ارسال میشود را نمی تواند راستی آزمایی کند و بدون چک کردن از آنها استفاده می کند که این امر به هکر ها اجازه می دهد اپلیکیشن را از کار بیاندازند ویا code execution انجام دهند.

البته جزئیاتی از این باگ امنیتی و حملات بالقوه سایبری توسط موزیلا منتشر نشده وفقط اعلام کرده که اطلاعات اشتباه در کامپایلر ذکر شده برای ست کردن اعضای آرایه می تواند به type confusion منجر شود.این مسئله در کامپوننت engine آسیب پذیر  جاوا اسکریپت می تواند از راه دور اکسپلویت شود.هکر با فریب کاربر به بازدید از یک وبسایت آلوده از پیش طراحی شده میتواند code execution روی سیستم انجام دهد.

این آسیب پذیری توسط متخصصین امنیت سایبری Qihoo 360 ATA به موزیلا گزارش شده.با اینکه فایر فاکس بطور خودکار بروز رسانی ها را وقتی در دسترس قرار میگیرند نصب میکند این عمل بصورت دستی قابل انجام شدن است.از طریق menu و رفتن به About Mozilla Firefox

تمهیدات امنیتی موزیلا برای مقابله با code injection

 موزیلا جزییاتی را درباره راهکاری برای مقابله بیشتر با حملات code injection در فایرفاکس ارائه داده.این فرایند ایمن سازی شامل حذف کردن اجزای بالقوه خطرناک در codebase است مانند اسکریپت های inline و توابع eval-like.

حذف کردن اسکریپت های inline  امنیت پروتکل ‘about’ فایرفاکس یا ‘about:’ pages را ارتقا می دهد.تعدادی از این صفحات هستند که به کاربر اجازه می دهند کارهایی مانند نمایش اطلاعات شبکه ای ، بررسی تنظیمات مرورگر و دیدن پلاگین های نصب شده را انجام دهد.

موزیلا نگرانی هایی داشته که ممکن است مهاجمین از صفحه about:config به منظور اجرای حمله code injection سو استفاده کنند.

این صفحات رابطی را برای نمایان کردن وضعیت داخلی مرورگر ایجاد میکنند.ومهمتر از همه about:config که یک API را در دسترس قرار می دهد که برای بررسی و بروزرسانی تنظیمات به کار میرود.

موزیلا اعلام کرده تمام event handler های inline دوباره نوشته شده وبرای همه ۴۵ صفحه about در فایرفاکس تمام کدهای جاوا اسکریپت  inline به فایل های بسته بندی شده منتقل شده.این موضوع به منظور اعمال یک سیاست امنیت محتوای (CSP) قوی انجام شده مانند default-src در کروم.

این فرایند تضمین میکند که کد تزریق شده جاوا اسکریپت اجرا نشود و در عوض کد جاوا اسکریپت فقط زمانی اجرا میشود که از یک منبع بسته بندی شده با استفاده از پروتکل داخلی chrome لود شود.مسدود کردن هرگونه اسکریپت inline در هر صفحه about محدوه حمله هر گونه RCE را محدود میکند وبنابراین خط دفاعی قدرتمندی را در برابر code inhection ایجاد میکند.

مورد دیگر که برای محکم کاری انجام شده ،rewrite کردن استفاده  ار تمام  توابع eval-like است که موزیلا آنها را خطرناک میداند و توسعه دهندگان وب را از استفاده ازآنها بر حذر می دارد.

اگر یک تابع eval  با یک رشته که قابلیت آلوده شدن دارد  اجرا شود ممکن است به اجرای کد مخرب روی سیستم کاربر بیانجامد.