گوگل و موزیلا در بولتن امنیتیشون برای چندین آسیب پذیری اصلاحیه دادن که یکیش زیرودی هستش و در حملاتی مورد سوء استفاده قرار گرفته.
آسیب پذیری های فایرفاکس:
آسیب پذیری CVE-2023-4863 :
آسیب پذیری از نوع Heap buffer overflow و بحرانی و در libwebp هستش. باز کردن یه تصویر WebP مخرب منجر به آسیب پذیری میشه. با توجه به نوع آسیب پذیری ، هکر میتونه منجر به کرش یا اجرای کد دلخواه بشه. آسیب پذیری زیرودی هستش و در حملاتی مورد اکسپلویت قرار گرفته .
محصولات تحت تاثیر:
Firefox, Firefox ESR, Thunderbird
نسخه های اصلاح شده :
- Firefox 117.0.1
- Firefox ESR 102.15.1
- Firefox ESR 115.2.1
- Thunderbird 102.15.1
- Thunderbird 115.2.2
آسیب پذیری توسط Apple Security Engineering and Architecture (SEAR) و The Citizen Lab گزارش شده.
نکته بد ماجرا اینه که ، بقیه برنامه هایی که از کتابخونه libwebp هم استفاده میکنن، میتونن تحت تاثیر آسیب پذیری قرار بگیرن. از جمله این برنامه ها کروم هستش.
آسیب پذیری های کروم :
همونطور که قبلا هم اشاره کرده بودیم، گوگل بروزرسانی های کروم رو بصورت هفتگی منتشر میکنه تا بتونه محصولش رو امن تر نگه داره.
آسیب پذیری CVE-2023-4863 : آسیب پذیری از نوع Heap buffer overflow و در WebP هستش. آسیب پذیری طبقه بندی حیاتی داره و همونطور که بالا اشاره شد، زیرودی هست و در حملاتی مورد سوء استفاده قرار گرفته.
آسیب پذیری توسط Apple Security Engineering and Architecture (SEAR) و The Citizen Lab گزارش شده.
آسیب پذیری CVE-2023-4900 : آسیب پذیری به دلیل پیاده سازی بد در Custom Tabs رخ میده. طبقه بندی مدیوم داره و توسط Levit Nudi از کنیا گزارش شده و گوگل بابتش 3000 دلار بانتی داده.
آسیب پذیری CVE-2023-4901 : آسیب پذیری به دلیل پیاده سازی بد در Prompts رخ میده. طبقه بندی مدیوم داره و توسط Kang Ali گزارش شده و 3000 دلار بانتی دریافت کرده.
آسیب پذیری CVE-2023-4902 : آسیب پذیری به دلیل پیاده سازی بد در Input رخ میده. طبقه بندی مدیوم داره و توسط Axel Chong گزارش شده و 2000 دلار بانتی دریافت کرده.
آسیب پذیری CVE-2023-4903 : آسیب پذیری به دلیل پیاده سازی بد در Custom Mobile Tabs رخ میده. طبقه بندی مدیوم داره و توسط Ahmed ElMasry گزارش شده و 1000 دلار بانتی دریافت کرده.
آسیب پذیری CVE-2023-4904 : آسیب پذیری به دلیل عدم اجرای کافی خط مشی ها در Downloads رخ میده. طبقه بندی مدیوم داره و توسط Tudor Enache گزارش شده و 1000 دلار بانتی دریافت کرده.
آسیب پذیری CVE-2023-4905 : آسیب پذیری به دلیل پیاده سازی بد در Prompts رخ میده. طبقه بندی مدیوم داره و توسط Hafiizh گزارش شده و 500 دلار بانتی دریافت کرده.
آسیب پذیری CVE-2023-4906 : آسیب پذیری به دلیل عدم اجرای کافی خط مشی ها در Autofill رخ میده. شدت کم داره و توسط Ahmed ElMasry گزارش شده و 6000 دلار بانتی دریافت کرده.
آسیب پذیری CVE-2023-4907 : آسیب پذیری به دلیل پیاده سازی بد در Intents رخ میده. شدت کم داره و توسط Mohit Raj (shadow2639) گزارش شده و 2000 دلار بانتی دریافت کرده.
آسیب پذیری CVE-2023-4908 : آسیب پذیری به دلیل پیاده سازی بد در Picture in Picture رخ میده. شدت کم داره و توسط Axel Chong گزارش شده .
آسیب پذیری CVE-2023-4909 : آسیب پذیری به دلیل پیاده سازی بد در Interstitials رخ میده. شدت کم داره و توسط Axel Chong گزارش شده .
نسخه اصلاح شده :
Chrome 117.0.5938.62 (Linux and Mac)
Chrome 117.0.5938.62/.63( Windows)
منبع :