موزیلا نسخه های جدیدی از مرورگر فایرفاکس خود را منتشر کرده است که یک جفت آسیب پذیری مهم روز صفر را اصلاح میکند. هر دو قبلاً به طور فعال مورد سوء استفاده قرار گرفتهاند، بنابراین کاربران این مرورگر باید در اسرع وقت این پچ را دریافت کنند تا در معرض حمله قرار نگیرند.
این آسیبپذیریها با برچسبهای CVE-2022-26485 و CVE-2022-26486، هر دو آسیبپذیریهایی از نوع use-after-free (UAF) هستند که توسط شرکت امنیت اینترنت چینی Qihoo 360 به موزیلا گزارش شده است. همانطور که کسپرسکی تاکید می کند، این نوع آسیبپذیریها به استفاده نادرست از حافظه پویا در طول اجرای برنامه مربوط میشود.
اشارهگرها در یک برنامه به مجموعه دادهها در حافظه پویا اشاره دارند. اگر یک مجموعه داده حذف شود یا به بلوک دیگری منتقل شود، اما نشانگر، به جای پاک شدن، همچنان به حافظه آزاد شده اشاره کند، نتیجه یک نشانگر آویزان (Dangling Pointer) است. اگر برنامه همان تکه حافظه را به شی دیگری اختصاص دهد (مثلاً دادههای وارد شده توسط مهاجم)، نشانگر آویزان اکنون به این مجموعه داده جدید اشاره میکند. به عبارت دیگر، آسیبپذیریهای UAF، امکان جایگزینی کد را فراهم میکند.
موزیلا فایرفاکس در حدود یک دهه گذشته سهم قابل توجهی از بازار را از دست داده است. طبق آمار StatCounter، در پایان سال 2010 تقریباً یک سوم رایانههای رومیزی در سراسر جهان از فایرفاکس استفاده میکردند. یک سال بعد، گوگل کروم محبوبیت بیشتری پیدا کرد و فایرفاکس را پشت سر گذاشت. تا اواسط سال 2012، کروم از اینترنت اکسپلورر مایکروسافت گذشت و به پشت سرش نگاه نکرد!
تا ماه گذشته، فایرفاکس تنها 9.46 درصد از بازار جهانی مرورگرهای دسکتاپ را به خود اختصاص داده است. در همین حال، کروم در 64.91 درصد از دستگاهها استفاده شده است.
