چگونه مهاجمان کنترل سیستم را در دست می گیرند؟

آسیب‌پذیری‌های شدید CVE-2022-22764 باعث مشکلات ایمنی حافظه در برخی از نسخه‌های قبلی فایرفاکس می‌شوند. توسعه دهندگان و همکاران Mozilla Paul Adenot و Mozilla Fuzzing Team نقص های امنیتی حافظه را در Firefox 96 و Firefox ESR 91.5 گزارش کرده اند.

آسیب پذیری های CVE-2022-22756 با شدت متوسط ​​باعث کشیدن و رها کردن یک تصویر به یک فایل اجرایی می شود.

CVE-2022-22758 آسیب‌پذیری‌های با شدت متوسط ​​به تلفن: پیوندها برای ارسال کدهای USSD به Android Firefox Dial اجازه می‌دهند. این نقص فقط بر روی نسخه فایرفاکس اندروید تاثیر می گذارد و روی سایر سیستم عامل ها تاثیری ندارد.

آسیب‌پذیری متوسط ​​CVE-2022-22757 از مسدود کردن وب‌سایت‌های محلی توسط Remote Agent جلوگیری می‌کند، Remote Agent به کاربران اجازه می‌دهد تا اسکریپت‌ها را از طریق مجموعه‌ای از دامنه‌ها تزریق کنند تا وضعیت اسناد در حال اجرا محتوای وب را بررسی کنند. اسناد را سفارشی کنید، تعامل کاربر را برای اهداف خودکار شبیه‌سازی کنید، مشترک به‌روزرسانی‌های مرورگر مانند گزارش‌های شبکه و کنسول و غیره شوید. با فایرفاکس ارتباط برقرار کنید.

این آسیب پذیری تنها بر مرورگر فایرفاکس در ویندوز تأثیر می گذارد و سایر سیستم عامل ها تحت تأثیر این آسیب پذیری قرار نمی گیرند.

آسیب پذیری های متوسط ​​CVE-2022-22759 منجر به اجرای اسکریپت ها توسط Sandbox iframes می شود.

تمامی نسخه های قبل از فایرفاکس 97 و فایرفاکس ESR 91.6 تحت تأثیر این آسیب پذیری ها قرار دارند، بنابراین به کاربران و مدیران توصیه می شود مرورگر فایرفاکس خود را در اسرع وقت به فایرفاکس 97 یا فایرفاکس ESR 91.6 به روز کنند.

تعدادی آسیب پذیری با شدت بالا و متوسط ​​در مرورگر فایرفاکس شناسایی شده است و مهاجم می تواند از برخی از این آسیب پذیری ها برای کنترل سیستم آسیب پذیر استفاده کند.

آسیب پذیری متوسط ​​CVE-2022-22755 به XSL اجازه می دهد تا پس از بستن برگه مرورگر، اسکریپت ها را اجرا کند.

آسیب‌پذیری‌های CVE-2022-22754 با شدت بالا به افزونه‌ها اجازه می‌دهد فرآیند مجوز دسترسی را در طول به‌روزرسانی‌ها دور بزنند.

آسیب‌پذیری با شدت متوسط ​​CVE-2022-22763 باعث اجرای اسکریپت زمانی می‌شود که یک خطای وضعیت شی نامعتبر رخ دهد.

آسیب‌پذیری متوسط ​​CVE-2022-22761 از اعمال تنظیمات اجداد چارچوب در بیانیه خط‌مشی امنیت محتوا به افزونه‌های قاب‌شده جلوگیری می‌کند.

به گزارش ای بی اس نیوز، موزیلا برای رفع تعدادی از آسیب پذیری ها در مرورگر فایرفاکس خود به روز رسانی امنیتی منتشر کرده است که این آسیب پذیری ها در رتبه های بالا و متوسط ​​قرار می گیرند و مهاجم می تواند با سوء استفاده از برخی از این آسیب پذیری ها، کنترل سیستم آسیب پذیر را در دست بگیرد. مرکز هماهنگی مدیریت صلاحیت و حوادث رایانه ای جزئیات این آسیب پذیری ها را منتشر کرده است.

آسیب‌پذیری CVE-2022-22760 با شدت متوسط، به پاسخ‌های متقاطع اجازه می‌دهد تا از انواع محتوای اسکریپتی و غیراسکریپتی متمایز شوند.

آسیب‌پذیری شدید CVE-2022-22753 به مهاجم اجازه می‌دهد تا سطح دسترسی را به SYSTEM (بالاترین سطح دسترسی در سیستم‌های ویندوز) از طریق Windows Maintenance Service ارتقا دهد. در واقع، یک نقص “check-in-to-use” در سرویس Maintenance (Updater) وجود دارد که می تواند برای دسترسی نوشتن به هر مسیر دلخواه که منجر به دسترسی SYSTEM شود، مورد سوء استفاده قرار گیرد.