IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

موزیلا بروزرسانی‌های نرم‌افزاری خارج از موعد را برای مرورگر وب فایرفاکس خود منتشر کرده است که دو آسیب‌پذیری امنیتی با تأثیر بالا را رفع نماید و به گفته فایرفاکس، هر دو به طور فعال در فضای سایبری مورد سواستفاده قرار می‌گیرند.

نقص‌های روز صفر (zero-day) که به‌عنوان CVE-۲۰۲۲-۲۶۴۸۵ و CVE-۲۰۲۲-۲۶۴۸۶ شناخته می‌شوند، به عنوان مشکلات استفاده پس از استفاده رایگان (use-after-free) توصیف شده‌اند که بر پردازش پارامتر تبدیل‌های زبان استایل‌شیت سبک یا Extensible Stylesheet Language Transformations (XSLT) و فریمورک ارتباطات بین فرآیندی WebGPU  (IPC) تأثیر می‌گذارند.

اساساً XSLT یک زبان مبتنی بر XML است که برای تبدیل داکیومنت های XML به صفحات وب یا داکیومنت های PDF استفاده می‌شود، در حالی که WebGPU یک استاندارد وب در حال ظهور است که به عنوان جانشین لایبرری گرافیکی جاوا اسکریپت فعلی WebGL معرفی شده است. شرح این دو نقص در زیر آمده است:

نقص CVE-۲۰۲۲-۲۶۴۸۵ – حذف یک پارامتر XSLT در طول پردازش می‌تواند منجر به استفاده use-after-free بهره‌برداری شود.

نقص CVE-۲۰۲۲-۲۶۴۸۶ – یک پیام غیرمنتظره در فریمورک WebGPU IPC که می‌تواند منجر به عبور از use-after-free و قابل بهره‌برداری از sandbox شود.

اشکالات use-after-free (که می‌توانند برای خراب کردن داده‌های معتبر و اجرای کد دلخواه در سیستم‌های در معرض خطر مورد سواستفاده قرار گیرند) عمدتاً از "گیج شدن در مورد اینکه کدام بخشی از برنامه مسئول آزاد کردن حافظه است" ناشی می‌شود.

موزیلا اذعان کرده است که «ما گزارش‌هایی از حملات در فضای سایبری داشته‌ایم» که این دو آسیب‌پذیری را بیشتر مورد توجه قرار می‌دهد، اما هیچ مشخصات فنی مرتبط با نفوذ‌ها یا هویت عاملان مخربی که از آن‌ها سواستفاده می‌کنند، به اشتراک گذاشته نشده است.

محققان امنیتی وانگ گانگ، لیو جیالی، دو سیهانگ، هوانگ‌یی و‌یانگ کانگ از Qihoo 360 ATA مسئول کشف و گزارش این نقایص هستند.

با توجه به بهره‌برداری فعال از نقص‌ها، به کاربران توصیه می‌شود در اسرع وقت دستگاه‌های خود را به فایرفاکس 97.0.2، فایرفاکس ESR 91.6.1، فایرفاکس برای اندروید 97.3.0، فوکوس 97.3.0 و تاندربرد 91.6.2 ارتقا دهند.