أخبار الثغرات

Mozilla تؤكد وجود ثغرة خطيرة في متصفح Firefox 3.5

تم أرشفة هذا المحتوى


أكدت شركة موزيلا وجود ثغرة خطيرة انتشر استغلالها مسبقا بشكل علني أصابت الاصدار 3.5 من متصفح فايرفوكس ويأتى تأكيد شركة موزيلا على اصابة المتصفح بالثغرة بعد يوم واحد فقط على انتشار الاستغلال في موقع ميلوورم.

Firefox

يتمكن المهاجم من استغلال الثغرة بعد توجيه المستخدم لصفحة تحتوي على كود جافاسكريبت يستغل خطأ برمجي في خاصية JIT JavaScript Compiler الموجودة في محرك الجافاسكريبت الخاص بمتصفح فايرفوكس لتشغيل شيل كود على جهاز المستخدم مما يؤدي لاختراقه.

وفق شركة موزيلا فريق التطوير يعمل حاليا على اصدار ترقيع للثغرة وسيتم توفيره بأقرب فرصة ممكنة لكن حتى ذلك الوقت يُنصح بتعطيل خاصية JIT في محرك الجافاسكريبت.

اكتب في شريط العنوان العلوي:

about:config

للدخول لصفحة الاعدادات المتقدمة في متصفح Firefox, هذا سيؤدي لظهور رسالة تطلب منك الحذر عند تغيير هذه الاعدادات, قم بالموافقة عليها لتظهر صفحة يوجد في أعلاها شريط Filter اكتب فيه jit ثم قم بالنقر مرتين على النتيجة:

javascript.options.jit.content

وتغيير القيمة من true الى false.

عند اصدار الترقيع الأمني تذكّر من اعادة نفس الخطوات وتغيير القيمة السابقة الى true فشركة موزيلا تنصح بتطبيق هذا الحل بشكل مؤقت فقط حتى يتم اصدرا تحديث للثغرة فتعطيل الخاصية السابقة قد يؤثّر على أداء المتصفح مع العلم أن تشغيل فايرفوكس في الوضع الآمن Safe Mode يعطّل خاصية JIT بشكل افتراضي ويمنع من تنفيذ الاستغلال.

الجدير بالذكر أنه تم اضافة خاصية Just In Time Compilre للاصدار 3.1 من متصفح فايرفوكس لتحسين أداؤه وتعتبر هذه هي أول ثغرة يتم اكتشافها في متصفح Firefox 3.5.

شخصيّا أنصح الجميع باستخدام اضافة NoScript التي تقوم بتعطيل الجافاسكريبت في جميع المواقع بشكل افتراضي وتترك التحكم للمستخدم بالسماح للمواقع الموثوقة فقط كما أنها تحتوي على عدّة خصائص أخرى تحمي من العديد من الأخطار مثل ثغرات XSS, الـ ClickJacking والكثير من الأمور الأخرى.

المصدر: Mozilla Security Blog
الاستغلال المنتشر: Milw0rm-9137

تحديث 14 يوليو: شركة موزيلا أطلقت الاصدار 3.5.1 من متصفح Firefox لاصلاح الثغرة ويمكن تحميله من هنا.

‫7 تعليقات

  1. الحمدلله, حآلياً استخدم الإصدآر 3.0.11، لآ أفضل استخدام إصدآرآت الـ Beta.

    بالنسبة للـ Milw0rm، أعتقد أنه مفيد لشركآت البرمجيات،
    فلو اكتشفت هذا الثغرة ولم تنشر على Milw0rm أو غيره، لما علمت Mozilla بها!
    وقد يتم استخدام استغلالها بين الـ Black hat hackers! محدثين أضراراً كبيرة.

    فالموقع يسآعد هذه الشركآت بشكل مبآشر أو غير مبآشر على اكتشاف الثغرآت،
    ومن ثم تقوم الشركة بطرح الترقيع أو الحل المؤقت لهذه الثغرة.

    وشكراً لك أخي عبدالمهيمن. =)

  2. @ ثروت
    انت تعرف ان في شركات حماية تنزل ثغرات وبعد يومين تنزل الحلول لها بمقابل مادي ؟
    المسألة فيها تجارة اكثر من الهدف النبيل الي يناشدون بية الكل وهوا حماية المستهلك

  3. أكدت شركة موزيلا وجود ثغرة خطيرة انتشر استغلالها مسبقا بشكل علني أصابت الاصدار 3.5 في متصفح فايرفوكس حيث يأتى تأكيد شركة موزيلا على اصابة المتصفح بالثغرة بعد يوم واحد فقط على انتشار الاستغلال في موقع ميلوورم.

    رجعنا تاني للموقع الزفت ميلوورم
    ميلوورم هو سبب المصائب كلها فليته لما أعلن عن ايقاف موقعه مارجع تاني زي الطفل عن رايه وشغله

    الا صحيح ليه الشركات الكبيرة زي مازولا ماترفع قضية على ميلوورم التعبان دا وتسكره وتريحنا منه!!

  4. الاستغلال الذي انتشر في ميلوورم يستهدف نظام ويندوز لكن الثغرة موجودة في جميع اصدارات Firefox 3.5 ان كان اصدار ويندوز, لينوكس أو حتى ماك ولا أتوقع أنه سيكون من الصعب التعديل على الاستغلال وتغيير الـ payload ليتم استغلال الثغرة على لينوكس.

  5. لمن قال أوبرا :p

    كود الphp التالي يعمل كراش بالأوبرا , كان يعمل عالفايرفوكس بس ترقع قبل فترة ..

    header(“Content-Type: test/xml”);
    echo “”;
    for ($i=0;$i

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى