[[{"content_id":436121,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"انتشار فایرفاکس ۴۶ و وصله آسیب‌پذیری بحرانی","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"موزیلا درمجموع ۱۴ آسیب‌پذیری را وصله کرده است. در این میان یکی از آن‌ها که با انتشار فایرفاکس ۴۶ رفع شده، بحرانی و با شدت بسیار بالا رده‌بندی‌شده است.\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\nبه گزارش واحد متخصصین سایبربان؛ نسخه ۴۶ از فایرفاکس علاوه بر این آسیب‌پذیری بحرانی، چهار آسیب‌پذیری دیگر با شدت بالا را برطرف کرد که شامل اشکالات ایمنی حافظه بودند و بر موتور مرورگر تأثیر می‌گذاشتند. این حفره‌ها که توسط توسعه‌دهندگان موزیلا کشف شدند، می‌توانند موجب ازکارافتادن نرم‌افزار شده و در برخی شرایط امکان اجرای کدی دلخواه را برای مهاجم فراهم نمایند.\r\n\r\nشاخصه‌های CVE زیر به این آسیب‌پذیری‌های حیاتی تخصیص داده‌شده‌اند: CVE-2016-2804،CVE-2016-2805،, CVE-2016-2806 CVE-2016-2807.\r\n\r\nاز پنج حفره‌ای که با شدت بالا رتبه‌بندی شده و در آخرین نسخه منتشره فایرفاکس برطرف شده‌اند، یکی از آن‌ها به‌وسیله گروه امنیت ارتباطات الکترونیکCESG به موزیلا گزارش شد که یک بازوی امنیت اطلاعات متعلق به ستاد ارتباطات دولت انگلستان (GCHQ) است. \r\n\r\nموزیلا در متن مشاوره خود گفته است: «GESG گزارش داده است که متد جاوا اسکریپت watch می‌تواند برای سرریز محاسبه نسل ۳۲ بیتی HashMap‌استفاده شود که منجر به نوشته شدن یک ورودی نامعتبر خواهد شد». \r\nدر شرایط خاص، ممکن است که از آسیب‌پذیری CVE-2016-2808 برای اجرای کد دلخواه استفاده شود، اما موزیلا خاطرنشان می‌کند که یک مهاجم برای اینکه بتواند این سرریز بافر را انجام دهد باید قربانی را وادار به باز کردن یک صفحه آلوده برای مدت‌زمان خاصی کند.\r\n\r\nساشا جاست یک محقق امنیتی نیز به گزارش یک آسیب‌پذیری دیگر با شدت بالا پرداخته که می‌تواند از طریق محتوای دستکاری‌شده‌ی آلوده در شبکه مورد بهره‌برداری قرار گیرد و موجب ازکارافتادن برنامه به‌منظور بهره‌برداری از آن شود. این ضعف با شناسه ‌libstagefright ردیابی شده و موجب می‌شود که کتابخانه libstagefright  دچار سرریز بافر شود. \r\n\r\nیک آسیب‌پذیری دیگر با شدت بالا که تنها بر روی فایرفاکس در اندروید تأثیر می‌گذارد با شناسه‌ی CVE-2016-2813 توسط تیم تحقیقاتی دانشگاه نیوکاسل در انگلستان گزارش‌شده است. محققان کشف کرده‌اند که یک مهاجم می‌تواند اقداماتی را با استفاده از جاوا اسکریپت انجام داده تا به داده‌های جهت‌یابی دستگاه و حس‌گر حرکتی آن دسترسی پیدا کند. این کار موجب می‌شود تا فعالیت‌های کاربر و اطلاعات آن ازجمله رمز ورود دستگاه در معرض خطر قرار گیرد. \r\n\r\nمشکل دیگری که تنها بر روی نسخه اندروید فایرفاکس تأثیر می‌گذارد به‌وسیله کن اکویاما کشف‌شده است. او دریافت که یک حفره با شدت متوسط به یک نرم‌افزار آلوده اجازه می‌دهد تا داده‌ها را بخواند. این داده‌ها شامل تاریخچه مرورگر و رمزهای ذخیره‌شده در دستگاه بودند. تنها نسخه‌های اندروید پیش از نسخه ۵ در معرض این خطر قرار دارند.\r\n\r\nلوبر یانگ یک محقق امنیتی دیگر نیز برای شناسایی دو حفره با شدت بالا مربوط به Service Workers (CVE-2016-2811 و CVE-2016-2812) موردتمجید قرارگرفته است.\r\n\r\nفهرست دیگر آسیب‌پذیری‌ها با درجه متوسط که در فایرفاکس اصلاح‌شده‌اند شامل یک آسیب‌پذیریِ افزایش دسترسی از طریق حذف پرونده‌ و یک آسیب‌پذیری افزایش دسترسی از طریق افزونه وب و یک ضعف در گزارش عدم وجود مشکل (یا سلامتی مرورگر) در فایرفاکس می‌شوند.\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\nمنبع: \r\n\r\n\r\nnews.asis.io","content_html":"

موزیلا درمجموع ۱۴ آسیب‌پذیری را وصله کرده است. در این میان یکی از آن‌ها که با انتشار فایرفاکس ۴۶ رفع شده، بحرانی و با شدت بسیار بالا رده‌بندی‌شده است.<\/h1>\n\n
\n
\n
\"\"<\/div>\n<\/div>\n<\/div>\n\n
\n
\n
\n
\n

به گزارش واحد متخصصین سایبربان؛ نسخه ۴۶ از فایرفاکس علاوه بر این آسیب‌پذیری بحرانی، چهار آسیب‌پذیری دیگر با شدت بالا را برطرف کرد که شامل اشکالات ایمنی حافظه بودند و بر موتور مرورگر تأثیر می‌گذاشتند. این حفره‌ها که توسط توسعه‌دهندگان موزیلا کشف شدند، می‌توانند موجب ازکارافتادن نرم‌افزار شده و در برخی شرایط امکان اجرای کدی دلخواه را برای مهاجم فراهم نمایند.<\/p>\n\n

شاخصه‌های CVE<\/span> زیر به این آسیب‌پذیری‌های حیاتی تخصیص داده‌شده‌اند: CVE-<\/span>2016-2804<\/span>،CVE-<\/span>2016-2805<\/span>،, CVE-<\/span>2016-2806<\/span> CVE-<\/span>2016-2807<\/span>.<\/p>\n\n

از پنج حفره‌ای که با شدت بالا رتبه‌بندی شده و در آخرین نسخه منتشره فایرفاکس برطرف شده‌اند، یکی از آن‌ها به‌وسیله گروه امنیت ارتباطات الکترونیکCESG<\/span> به موزیلا گزارش شد که یک بازوی امنیت اطلاعات متعلق به ستاد ارتباطات دولت انگلستان (GCHQ<\/span>) است. <\/p>\n\n

موزیلا در متن مشاوره خود گفته است: «GESG<\/span> گزارش داده است که متد جاوا اسکریپت watch<\/span> می‌تواند برای سرریز محاسبه نسل ۳۲ بیتی HashMap‌<\/span>استفاده شود که منجر به نوشته شدن یک ورودی نامعتبر خواهد شد». 
\nدر شرایط خاص، ممکن است که از آسیب‌پذیری CVE-<\/span>2016-2808<\/span> برای اجرای کد دلخواه استفاده شود، اما موزیلا خاطرنشان می‌کند که یک مهاجم برای اینکه بتواند این سرریز بافر را انجام دهد باید قربانی را وادار به باز کردن یک صفحه آلوده برای مدت‌زمان خاصی کند.<\/p>\n\n

ساشا جاست یک محقق امنیتی نیز به گزارش یک آسیب‌پذیری دیگر با شدت بالا پرداخته که می‌تواند از طریق محتوای دستکاری‌شده‌ی آلوده در شبکه مورد بهره‌برداری قرار گیرد و موجب ازکارافتادن برنامه به‌منظور بهره‌برداری از آن شود. این ضعف با شناسه ‌libstagefright<\/span> ردیابی شده و موجب می‌شود که کتابخانه libstagefright<\/span>  دچار سرریز بافر شود. <\/p>\n\n

یک آسیب‌پذیری دیگر با شدت بالا که تنها بر روی فایرفاکس در اندروید تأثیر می‌گذارد با شناسه‌ی CVE-<\/span>2016-2813<\/span> توسط تیم تحقیقاتی دانشگاه نیوکاسل در انگلستان گزارش‌شده است. محققان کشف کرده‌اند که یک مهاجم می‌تواند اقداماتی را با استفاده از جاوا اسکریپت انجام داده تا به داده‌های جهت‌یابی دستگاه و حس‌گر حرکتی آن دسترسی پیدا کند. این کار موجب می‌شود تا فعالیت‌های کاربر و اطلاعات آن ازجمله رمز ورود دستگاه در معرض خطر قرار گیرد. <\/p>\n\n

مشکل دیگری که تنها بر روی نسخه اندروید فایرفاکس تأثیر می‌گذارد به‌وسیله کن اکویاما کشف‌شده است. او دریافت که یک حفره با شدت متوسط به یک نرم‌افزار آلوده اجازه می‌دهد تا داده‌ها را بخواند. این داده‌ها شامل تاریخچه مرورگر و رمزهای ذخیره‌شده در دستگاه بودند. تنها نسخه‌های اندروید پیش از نسخه ۵ در معرض این خطر قرار دارند.<\/p>\n\n

لوبر یانگ یک محقق امنیتی دیگر نیز برای شناسایی دو حفره با شدت بالا مربوط به Service Workers <\/span>(CVE-<\/span>2016-2811<\/span> و CVE-<\/span>2016-2812<\/span>) موردتمجید قرارگرفته است.<\/p>\n\n

فهرست دیگر آسیب‌پذیری‌ها با درجه متوسط که در فایرفاکس اصلاح‌شده‌اند شامل یک آسیب‌پذیریِ افزایش دسترسی از طریق حذف پرونده‌ و یک آسیب‌پذیری افزایش دسترسی از طریق افزونه وب و یک ضعف در گزارش عدم وجود مشکل (یا سلامتی مرورگر) در فایرفاکس می‌شوند.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n

\n
\n
منبع: <\/div>\n\n
\n
news.asis.io<\/div>\n<\/div>\n<\/div>\n<\/div>","content_source":"","content_url":"","content_date_start":"2016-05-02 10:00:09","content_date_event":"2016-05-02 10:00:09","content_date_event_start":null,"content_date_event_end":null,"content_show_title_slider":1,"content_date_last_edit":"2016-05-02 10:01:42","content_date_register":"2016-05-02 10:01:42","content_columns":0,"content_show_img":1,"content_show_details":0,"content_show_related_img":0,"content_show_slider":1,"content_comment":1,"content_score":0,"tag_id":0,"score_average":null,"score_count":null,"score_date_last":null,"uid":15356,"eid":0,"attach_title":null,"attaches":[{"sizes":{"150":".\/cache\/184\/attach\/201605\/37406_3202643058_150_104.webp","300":".\/cache\/184\/attach\/201605\/37406_3202643058_260_180.webp","400":".\/cache\/184\/attach\/201605\/37406_3202643058_260_180.webp","600":".\/cache\/184\/attach\/201605\/37406_3202643058_260_180.webp","900":".\/cache\/184\/attach\/201605\/37406_3202643058_260_180.webp","1200":".\/cache\/184\/attach\/201605\/37406_3202643058_260_180.webp"},"ext":"jpg","file_media":1,"token":3202643058,"files":{"original":{"url":".\/file\/184\/attach\/201605\/37406_3202643058.jpg","width":260,"height":180,"size":0}}}]}]]