أمس أحد زملائنا ذكرت بعض الأخطاء التي تم العثور عليها التي تؤثر على جميع إصدارات Firefox بسبب تم اكتشاف ثغرة يوم الصفر في المتصفح ويتم استغلاله بنشاط في الهجمات المستهدفة. تم الكشف عن الخرق الأمني من خلال Project Zero من Google ويؤثر على جميع إصدارات Firefox.
الآن بعد يوم ، طلبت Mozilla مرة أخرى من جميع مستخدمي المتصفح التحديث مرة أخرى إلى إصدار متفوق جديد تم إصداره بالفعل ، هذا بسبب اكتشاف ثغرة يوم الصفر الثاني في المتصفح.
خطأ يوم الصفر الثاني في Firefox
أصدرت Mozilla Firefox 67.0.4 لإصلاح ثغرة أمنية الأمان الذي تم استخدامه في الهجمات المستهدفة ضد شركات العملة المشفرة مثل Coinbase. يجب على مستخدمي Firefox تثبيت هذا التحديث على الفور.
يقع خلف Firefox 67.0.3 و 60.7.1 ، تم إصدار إصدارات تصحيحية إضافية 67.0.4 و 60.7.2 ، مما أدى إلى القضاء على ثغرة يوم الصفر الثانية (CVE-2019-11708) ، والتي تسمح بتجاوز آلية عزل وضع الحماية للمتصفح.
تسمح المشكلة باستخدام طلب الأمر لفتح معالجة مكالمات IPC لفتح محتوى الويب في عملية فرعية لا تستخدم وضع الحماية.
بالاقتران مع نقطة ضعف أخرى ، تتيح لك هذه المشكلة تجاوز جميع مستويات الحماية وملفات تنظيم تنفيذ الكود في النظام.
قبل الإصلاح ، الثغرات الأمنية التي تم تحديدها في الإصدارين الأخيرين من Firefox تم استخدامها لشن هجوم ضد موظفي Coinbase لتبادل العملات المشفرة ، كما تم استخدامها لنشر البرامج الضارة لمنصة macOS.
التحقق غير الكافي من المعلمات التي تم تمريرها من خلال الموجه: يمكن أن تتسبب رسالة IPC المفتوحة بين العمليات الأبوية والعملية الأبوية في فتح محتوى الويب الذي تم اختياره بواسطة عملية فرعية مخترقة. عند دمجها مع ثغرات أمنية إضافية ، قد يؤدي ذلك إلى تنفيذ تعليمات برمجية عشوائية على جهاز الكمبيوتر الخاص بالمستخدم.
هذا الأسبوع ، أصدرت Mozilla Firefox 67.0.3 لإصلاح ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بُعد والتي كانت تُستخدم في الهجمات المستهدفة.
منذ إصدارها ، تم اكتشاف الثغرة الأمنية ومجهول آخر تم ربطهما معًا كجزء من هجوم انتحال لإزالة وتشغيل حمولات ضارة على أجهزة الضحية.
يزعم أن تم إرسال معلومات حول الثغرة الأمنية الأولى إلى Mozilla بواسطة أحد المشاركين في Google Project Zero في 15 أبريل وتم إصلاحه في 10 يونيو في الإصدار التجريبي من Firefox 68 (ربما حلل المهاجمون الحل المنشور وأعدوا الاستغلال باستخدام ثغرة أمنية أخرى لتجنب عزل وضع الحماية).
كيفية تحديث متصفح Firefox على نظام Linux؟
لتحديث الإصدارات التصحيحية الجديدة من المتصفح إلى هذا الإصدار وحتى تثبيتها إذا لم يكن لديك ، يمكنك القيام بذلك باتباع الإرشادات التي نشاركها أدناه.
مستخدمو Ubuntu أو Linux Mint أو مشتقات أخرى من Ubuntu ، يمكنهم تثبيت أو تحديث هذا الإصدار الجديد بمساعدة PPA الخاص بالمستعرض.
يمكن إضافة هذا إلى النظام عن طريق فتح محطة وتنفيذ الأمر التالي فيه:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
فعلت هذا الآن عليهم فقط التثبيت مع:
sudo apt install firefox
إلى يمكن لجميع توزيعات Linux الأخرى تنزيل الحزم الثنائية من الرابط التالي.
أو تحقق مما إذا كان الإصدار الجديد قد تم دمجه بالفعل في مستودعات التوزيعة الخاصة بك.
طريقة أخرى لتحديث المتصفح إلى أحدث إصدار هو فتح المتصفح ، وهنا يمكن للمستخدمين البحث يدويًا عن تحديثات جديدة في قائمة Firefox -> تعليمات -> حول Firefox. سيقوم Firefox تلقائيًا بالبحث عن تحديث جديد وتثبيته.
أيضا من المتوقع إصلاح خطأ Firefox تم اكتشاف خطأ يوم الصفر الثاني ضرب متصفح Tor في الأيام القليلة المقبلة.
منذ اليوم ، تم تحديث فريق Tor Browser إلى الإصدار 8.5.2 ، والذي يتضمن الإصلاح لأول خطأ يوم صفر تم اكتشافه في فرع Firefox.