- شناسه CVE-2025-0242 :CVE
- CWE-787 :CWE
- yes :Advisory
- منتشر شده: ژانویه 7, 2025
- به روز شده: ژانویه 13, 2025
- امتیاز: 6.5
- نوع حمله: Unknown
- اثر گذاری: Memory Corruption
- برند: Mozilla
- محصول: Firefox
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
اشکالات مربوط به ایمنی حافظه (Memory Safety Bugs) در نسخههای زیر شناسایی شدهاند:
- Firefox 133
- Thunderbird 133
- Firefox ESR 115.18
- Firefox ESR 128.5
- Thunderbird 115.18
- Thunderbird 128.5
برخی از این اشکالات نشانههایی از خراب شدن حافظه (Memory Corruption) را بیان می کنند و این احتمال وجود دارد که با تلاش کافی، برخی از این اشکالات بتوانند برای اجرای کد دلخواه (Arbitrary Code) مورد اکسپلویت قرار گیرند.
این آسیبپذیری نسخههای زیر را تحت تأثیر قرار میدهد:
- Firefox نسخه قبل از 134
- Firefox ESR نسخه قبل از 6
- Firefox ESR نسخه قبل از 19
- Thunderbird نسخه قبل از 134
- Thunderbird ESR نسخه قبل از 6
توضیحات
این آسیبپذیری به برخی پردازشهای ناشناخته مربوط میشود. ایجاد تغییرات با یک ورودی ناشناخته منجر به آسیبپذیری خرابی حافظه (Memory Corruption) میشود. این مشکل بر اساس CWE-787 تعریف شده است. محصول عملیاتهایی را روی یک بافر حافظه (Memory Buffer) انجام میدهد، اما میتواند از موقعیتی در حافظه خارج از محدودهی تعیینشده خواندن یا نوشتن (Read/Write) انجام دهد. این آسیبپذیری تأثیراتی بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترسپذیری (Availability) دارد.
برخی از این اشکالات نشانههایی از خرابی حافظه (Memory Corruption) نشان دادهاند و احتمال میرود که با تلاش کافی بتوان از آنها برای اجرای کد دلخواه (Arbitrary Code) سوءاستفاده کرده و آن را اکسپلویت کرد. حمله به صورت از راه دور (Remotely) امکانپذیر است. برای سوءاستفاده از این آسیبپذیری، نیازی به احراز هویت (Authentication) وجود ندارد، اما تعامل بین کاربر و قربانی مورد نیاز است.
اسکنر امنیتی Nessus یک پلاگین با شناسه 213532 (برای Mozilla Firefox ESR کمتر از نسخه 128.6) ارائه داده است که میتواند وجود این آسیبپذیری را در یک محیط هدف شناسایی کند.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product | Vendor |
| affected before 134 | Firefox | Mozilla |
| affected before 128.6 | Firefox ESR | Mozilla |
| affected before 115.19 | Firefox ESR | Mozilla |
| affected before 134 | Thunderbird | Mozilla |
| affected before 128.6 | Thunderbird | Mozilla |
لیست محصولات بروز شده
| Versions | Product | Vendor |
| 134 | Firefox | Mozilla |
| 128.6 | Firefox ESR | Mozilla |
| 115.19 | Firefox ESR | Mozilla |
| 134 | Thunderbird | Mozilla |
| 128.6 | Thunderbird | Mozilla |
نتیجه گیری
اشکالات ایمنی حافظه در فایرفاکس 133، تاندربرد 133 و نسخه های فایرفاکس ESR 115.18 و 128.5 و تاندربرد 115.18 و 128.5 هستند. برخی از باگ ها نشانه های تخریب حافظه را بیان میکنند. برای جلوگیری از نفوذ بهتر است از موارد بروزرسانی شده استفاده کنید.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-0242
- https://www.cvedetails.com/cve/CVE-2025-0242/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-02/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0242
- https://vuldb.com/?id.290667
- https://vuldb.com/?id.290662
- https://nvd.nist.gov/vuln/detail/CVE-2025-0242
- https://cwe.mitre.org/data/definitions/787.html
