تبلیغات
گروه امنیتی منطقه تاریکی - مطالب ابر فایرفاکس
گروه امنیتی منطقه تاریکی

انتشار فایرفاکس ۳۵؛ رفع ۹ آسیب‌پذیری این مرورگر

دوشنبه 6 بهمن 1393

نوع مطلب :اخبار دنیای امنیت، 

بنیاد موزیلا در هفته‌ی گذشته نسخه‌ی جدید مرورگر فایرفاکس را منتشر کرد، در نسخه‌ی جدید ۹ آسیب‌پذیری وصله شده است که از میان آن‌ها ۳ آسیب‌پذیری بحرانی هستند و می‌توانند منجر به از کار افتادن مرورگر شوند و یا امکان دور زدن سند‌باکس را برای مهاجم فراهم کنند. 
 
جزییات آسیب‌پذیری‌ها:
یکی از آسیب‌پذیری‌های بحرانی منتشر‌شده، توسط محقق امنیتی به نام Nils که کارمند شرکت امنیتی MWR واقع در انگلستان می‌باشد، کشف شده است. این آسیب‌پذیری مربوط به مشکل سند‌باکس1 Gecko Media Plugin در سامانه‌های ویندوزی است و به همین دلیل این آسیب‌پذیری مرورگر مربوط به سامانه‌عامل ویندوز است و سامانه‌های لینوکس و مک را تحت تاثیر قرار نمی‌دهد. 
 
آسیب‌پذیری بعدی توسط Mitchell Harper کشف شده است و از نوع خطاهای خواندن پس از آزاد‌سازی یا Read-after-free می‌باشد. آسیب‌پذیری در مولفه‌ی WebRTX وجود دارد و درصورتی که مهاجم موفق به سوء‌استفاده از این آسیب‌پذیری شود، می‌تواند منجر به قطع سرویس‌دهی برنامه شود. WebRTC یک API رایگان است که مرورگرها از جمله فایرفاکس، کروم و اُپرا از آن برای ارتباط صوتی یا تصویری یک کاربر با سایر کاربران استفاده می‌کنند. سرویس Firefox Hello که یک نرم‌افزار مانند Skype است، از این API استفاده می‌کند و نخستین بار ماه گذشته در نسخه‌ی ۳۴ فایرفاکس معرفی شد.
 
آخرین آسیب‌پذیری نیز مربوط به خطای حافظه است که در تیم توسعه‌ی فایرفاکس مطرح و بررسی شده است، محققان در مورد این آسیب‌پذیری اضافه کرده‌اند که احتمال سوء‌استفاده از این آسیب‌پذیری و اجرای کد از راه دور بالاست. 
 
چندین آسیب‌پذیری دیگر، که اگرچه بحرانی نیستند، مانند مسئله‌ی تفسیر حافظه که می‌تواند منجر به خطا در نحوه‌ی نمایش محتوای وب‌گاه شود و آسیب‌پذیری‌هایی که می‌توانند منجر به افزاش حق دست‌رسی شوند، در نسخه‌ی ۳۵ این مرورگر وصله شده‌اند.
 
به کاربران توصیه می‌شود با دریافت آخرین نسخه‌ی مرورگر فایرفاکس از وب‌گاه اصلی، از به‌روز بودن مرورگر خود مطمئن شوند. برای بررسی نسخه‌ی مرورگر خود از منوی tools به بخش Options مراجعه کنید و در زبانه‌ی Advanced نسخه‌ی مرورگر خود را بررسی کنید.


استفاده از SSLv3 در مرورگرها متوقف خواهد شد؟

جمعه 2 آبان 1393

نوع مطلب :اخبار دنیای امنیت، 

با انتشار جزییات حملات POODLE که با سوء‌استفاده از ضعف SSLv3 صورت می‌گیرد، به نظر می‌رسد توسعه‌دهندگان مرورگرها در حال برنامه‌ریزی برای رفع این مشکل هستند، حذف پروتکل SSLv3 منجر به اتفاقات عجیبی در دنیای اینترنت می‌شود و به همین دلیل توسعه‌دهندگان باید با احتیاط این عملیات را انجام دهند که خسارتی به کاربران وارد نشود. 
 
حملات Poodle توسط محققان گوگل کشف و هفته‌ی پیش جزییات آن منتشر شد. این حملات به مهاجم این امکان را می‌دهد که در همان شبکه‌ای که مهاجم از پروتکل SSLv3 برای رمز‌گذاری داده‌ها و ترافیک خود استفاده می‌کند، به داده‌های بدون رمز‌ قربانی دست‌رسی پیدا کند. این حملات می‌تواند در پشت صحنه انجام شود، ایده‌ی اصلی Poodle مربوط به این مسئله می‌شود که در هنگام درخواست برای رمزگذاری ترافیک از سمت سرویس‌گیرنده (نرم‌افزار‌های سمت سرویس‌گیرنده مثلاً مرورگر) درصورتی که این درخواست با شکست مواجه شود، کارگزار تلاش می‌کند با استفاده از یک پروتکل رمزنگاری دیگر و ضعیف‌تر مثل SSLv3 ارتباط رمزشده را ایجاد کند. مهاجم می‌تواند یک تلاش برای ارتباط رمز‌شده را در صورتی که با شکست مواجه شود، مجبور کند از پروتکل SSLv3 استفاده کند و سپس حملات را آغاز کند. 
 
مقامات موزیلا می‌گویند اگرچه فایرفاکس در مجموع تنها در ٪۰٫۳ از ارتبطات امن از SSLv3 استفاده می‌کند، اما حملات Poodle هنوز یک تهدید بسیار جدی برای کاربران به شمار می‌آید. به همین دلیل موزیلا در تلاش است تا پایان نوامبر سال جاری به طور کامل پروتکل آسیب‌پذیری SSLv3 را از فایرفاکس حذف کند. در فایرفاکس نسخه‌ی ۳۴ این پروتکل به صورت پیش‌فرض حذف می‌شود، تاریخ انتشار فایرفاکس ۳۴، ۲۵ نوامبر سال جاری است. البته نسخه‌ی Nightly از فایرفاکس که توسط توسعه‌دهندگان استفاده می‌شود از روز گذشته استفاده از پروتکل SSLv3 را غیرفعال کرده است. 
در فایرفاکس ۳۵، موزیلا پشتیبانی از سازوکار محافظت از کاهش نسخه‌ی TLS که به استاندارد SCSV شهرت دارد را شروع می‌کند. 
 
مقامات امنیتی گوگل می‌گویند که پشتیبانی از SCSV از فوریه‌ی سال ۲۰۱۴ در مرورگر کروم وجود دارد، اما غیرفعال کردن SSLv3 منجر می‌شود وب‌گاه‌هایی که هنوز از این پروتکل استفاده می‌کنند با مشکل مواجه شوند و کاربران نتوانند از این وب‌گاه بازدید کنند. 
 
مایکروسافت با انتشار به‌روز‌رسانی‌های ماه اکتبر در سه‌شنبه‌ی هفته‌ی گذشته، توصیه‌نامه‌ای برای حملات Poodle منتشر کرد، اما هیچ برنامه‌ی مشخصی برای مقابله با این حملات در مرورگر اینترنت‌اکسپلورر معرفی نکرد. البته IE6، نسخه‌ی قدیمی مرورگر مایکروسافت که البته پشتیبانی از آن به پایان رسیده است، هیچی نسخه‌ی جدیدتری از پروتکل‌های رمز‌نگاری به جز SSLv3 را پشتیبانی نمی‌کند!




فهرست وبلاگ
طبقه بندی
آرشیو
نویسندگان
پیوندها
آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
جستجو
آخرین پستها
اَبر برچسبها