CVE-2025-0244

چکیده

یک مهاجم می تواند با هدایت مجدد به یک طرح پروتکل نامعتبر، نوار آدرس(Address bar) را جعل (Spoofing)کند. این مشکل فقط سیستم های اندروید را تحت تاثیر قرار می دهد. سیستم های دیگر ایمن هستند. این آسیب‌پذیری نسخه‌های Firefox < 134 را تحت تاثیر قرار می‌دهد.

توضیحات

یک آسیب‌پذیری در نسخه‌های Mozilla Firefox تا 133.x شناسایی شده است. این آسیب‌پذیری بخشی از کامپوننت مدیریت هدایت پروتکل را تحت تاثیر قرار می‌دهد که جزئیات آن ناشناخته است. ایجاد تغییرات با ورودی ناشناخته منجر به آسیب‌پذیری Clickjacking می‌شود. طبق طبقه‌بندی CWE، این مشکل به عنوان CWE-601 شناسایی شده است. در این مشکل، رابط کاربری (UI) اطلاعات حیاتی را به درستی به کاربر نشان نمی‌دهد و به این ترتیب، امکان پنهان کردن یا جعل اطلاعات (یا منبع آن) وجود دارد. این موضوع اغلب در حملات فیشینگ مشاهده می‌شود. این آسیب‌پذیری بر یکپارچگی اطلاعات تاثیر می‌گذارد.

قابلیت اکسپلویت این آسیب‌پذیری آسان گزارش شده است. حمله می‌تواند از راه دور (Remotely)آغاز شود. برای اکسپلویت موفق، نیازی به هیچ‌گونه احراز هویت نیست و فقط نیاز است که قربانی و کاربری تعامل انجام دهد.

براساس استاندارد MITRE ATT&CK این حمله را با تکنیک T1566.003 انجام می شود.

اسکنر آسیب‌پذیری Nessus پلاگینی با شناسه 213528 (Mozilla Firefox < 134.0) ارائه می‌دهد که به شناسایی وجود این آسیب‌پذیری در محیط هدف کمک می‌کند.

برای رفع این آسیب‌پذیری، به نسخه 134 بروزرسانی کنید.

 CVSS

 لیست محصولات آسیب پذیر

 لیست محصولات بروز شده

 نتیجه گیری

برای جلوگیری از سواستفاده و نفوذ بهتر است از موارد بروزرسانی شده استفاده کنید.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-0244
2. https://www.cvedetails.com/cve/CVE-2025-0244/
3. https://www.mozilla.org/en-US/security/advisories/mfsa2025-01/
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0244
5. https://vuldb.com/?id.290664
6. https://nvd.nist.gov/vuln/detail/CVE-2025-0244
7. https://cwe.mitre.org/data/definitions/601.html