CVE-2025-10534

چکیده

آسیب‌پذیری جعل مجوز (Spoofing) در کامپوننت Site Permissions (مجوزهای سایت) مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird به دلیل ضعف در پردازش ورودی‌ها و عدم خنثی‌سازی مناسب اسکریپت‌های جاوااسکریپت (Cross-Site Scripting یا XSS) رخ می‌دهد. این آسیب‌پذیری به مهاجم این امکان را می‌دهد که مجوزهای سایت را دستکاری کرده و کاربران را فریب دهد تا مجوزهای حساس مانند دسترسی به دوربین، میکروفون یا موقعیت جغرافیایی را به وب‌سایت‌های مخرب اعطا کنند.

توضیحات

آسیب‌پذیری CVE-2025-10534 از نوع جعل مجوز (Spoofing) در کامپوننت Site Permissions (مجوزهای سایت) مرورگرهای Firefox و نرم‌افزار مدیریت ایمیل Thunderbird است. این آسیب‌پذیری ناشی از ضعف در فرآیند خنثی‌سازی ورودی‌های مخرب در تولید صفحات وب، مطابق با CWE-79 است. این ضعف به مهاجم این امکان را می‌دهد که المنت‌های رابط کاربری (UI) را دستکاری کرده و کاربران را فریب دهد تا مجوزهای حساس مانند دسترسی به دوربین، میکروفون یا موقعیت جغرافیایی را به وب‌سایت‌های مخرب اعطا کنند.

در این آسیب‌پذیری، مهاجم می‌تواند با استفاده از Cross-Site Scripting (XSS)، به طور غیرمستقیم رابط کاربری مرورگر را دستکاری کند. XSS به مهاجم این امکان را می‌دهد که اسکریپت‌های جاوااسکریپت مخرب را در صفحات وب یا پنجره‌های درخواست مجوز سایت تزریق کند. در نتیجه، مهاجم می‌تواند UI سایت را طوری تغییر دهد که شبیه به رابط رسمی Firefox یا Thunderbird به نظر برسد. برای مثال، یک پنجره جعلی مجوز ایجاد می‌شود که شبیه به رابط واقعی درخواست مجوز در این مرورگرها است و کاربران را فریب می‌دهد تا به طور ناخواسته روی گزینه Allow (اجازه) کلیک کنند.

این حمله معمولاً از طریق HTTPS انجام می‌شود، به این صورت که مهاجم یک صفحه وب مخرب ایجاد کرده و از طریق لینک‌های فیشینگ کاربران را به آن هدایت می‌کند. در این حالت، کاربر بدون آگاهی از تهدید، وارد دام حمله می‌شود و ممکن است مجوزهای حساس مانند دسترسی به دوربین یا میکروفون را به سایت مخرب اعطا کند. در Thunderbird، اسکریپت‌های جاوااسکریپت به‌طور پیش‌فرض در هنگام خواندن ایمیل غیرفعال هستند، بنابراین بهره‌برداری از این آسیب‌پذیری عمدتاً در شرایط خاص مانند پیش‌نمایش HTML ایمیل یا از طریق افزونه‌ها ممکن است که ریسک کمتری دارد. در مقابل، در Firefox این ضعف به‌طور مستقیم کاربران را در معرض ریسک قرار می‌دهد، زیرا مجوزهایی که از این طریق اعطا می‌شوند، می‌توانند منجر به دسترسی‌های حساس شوند.

بهره‌برداری از این آسیب‌پذیری به‌صورت از راه دور و با نیاز به تعامل کاربر (مانند کلیک روی لینک یا تأیید مجوز) قابل انجام است. مهاجم می‌تواند با استفاده از اسکریپت‌های خودکار، صفحات مخرب تولید کرده و با استفاده از حملات مهندسی اجتماعی آن‌ها را برای کاربران ارسال کند. کاربران معمولاً از طریق ایمیل‌ها یا لینک‌های فیشینگ به این صفحات هدایت می‌شوند، جایی که از آن‌ها خواسته می‌شود تا مجوزهای مختلفی را برای سایت‌های مخرب صادر کنند.

این آسیب‌پذیری می‌تواند پیامدهای جدی برای محرمانگی و یکپارچگی اطلاعات کاربران داشته باشد. از جمله پیامدها می‌توان به افشای اطلاعات شخصی، تغییر عملکرد کاربر و اعطای مجوزهای حساس و ناخواسته به سایت‌های مخرب اشاره کرد. این ضعف می‌تواند به مهاجمان این امکان را بدهد که به منابع حساس سیستم دسترسی پیدا کرده یا داده‌های شخصی کاربران را استخراج کنند.

این آسیب‌پذیری در نسخه‌های پیش از 143 مرورگرهای Firefox و Thunderbird شناسایی شده و با انتشار نسخه‌های Firefox 143 و Thunderbird 143، به‌طور کامل پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Firefox و Thunderbird را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در کامپوننت Site Permissions مرورگرهای Firefox و نرم‌افزار مدیریت ایمیل Thunderbird ناشی از Cross-Site Scripting (XSS) بوده و می‌تواند منجر به جعل مجوز سایت (Spoofing) شود. مهاجم با تزریق کدهای مخرب، رابط کاربری مجوزها را جعل کرده و کاربر را فریب می‌دهد تا مجوزهای حساس مانند دسترسی به دوربین، میکروفون یا موقعیت جغرافیایی را به سایت‌های مخرب اعطا کند. با توجه به انتشار پچ رسمی، اجرای فوری اقدامات زیر برای رفع کامل آسیب‌پذیری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: تمام نصب‌های Firefox و Thunderbird را به نسخه 143 یا بالاتر به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• فعال‌سازی ویژگی‌های امنیتی پیش‌فرض: در Firefox و Thunderbird، حالت Strict Tracking Protection و Enhanced Tracking Protection را فعال کنید تا اسکریپت‌های مخرب مسدود شوند. همچنین، در Thunderbird، اجرای اسکریپت HTML ایمیل را غیرفعال نگه دارید تا ریسک XSS به حداقل برسد.
• استفاده از فایروال اپلیکیشن وب (WAF) و افزونه‌ها: افزونه‌هایی مانند uBlock Origin، NoScript یا HTTPS Everywhere را نصب کنید تا اسکریپت‌های مشکوک و اتصالات ناامن مسدود شوند. همچنین، از فایروال‌های اپلیکیشن وب مانند Cloudflare یا ModSecurity برای فیلتر کردن محتوای مخرب استفاده کنید.
• نظارت و آموزش کاربران: لاگ‌های مرورگر را با ابزارهایی مانند Firefox Developer Tools یا افزونه‌های مانیتورینگ بررسی کنید تا تلاش‌های spoofing شناسایی شود؛ تیم‌های کاربری را در شناسایی پنجره‌های جعلی درخواست مجوز (مثل بررسی URL و علائم ظاهری رابط کاربری) آموزش دهید و سیاست‌های عدم کلیک برای لینک‌های ناشناخته را ترویج کنید.
• تست امنیتی منظم: مرورگرها و وب‌سایت‌های داخلی را با ابزارهای اسکن مانند OWASP ZAP یا Mozilla Observatory تست کنید تا سناریوهای XSS و spoofing شناسایی شود. از تکنیک Fuzzing (تست ورودی‌های تصادفی) برای ارزیابی مقاومت مجوزهای سایت (UI Site Permissions) بهره ببرید.
• سیاست‌های سازمانی: در محیط‌های سازمانی، از سیاست گروهی (Group Policy) یا مدیریت دستگاه موبایل (MDM) برای اجبار به‌روزرسانی و مسدود کردن مجوزهای خودکار را استفاده کنید. همچنین، سیستم‌های مدیریت اطلاعات و رویدادهای امنیتی (SIEM) برای نظارت بر تلاش‌های فیشینگ را پیاده‌سازی کنید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی فوری و آموزش کاربران، ریسک ناشی از این آسیب‌پذیری را به حداقل می‌رساند و امنیت مرورگر و ایمیل را در اکوسیستم موزیلا تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

ورود اولیه از طریق بارگذاری یک صفحه وب مخرب انجام می‌شود که حاوی کد XSS است؛ کاربر معمولاً با کلیک روی لینک فیشینگ یا باز کردن صفحه‌ای با محتوای تزریق‌شده وارد سطح حمله می‌شود و مرورگر، اسکریپت مهاجم را اجرا می‌کند بدون آنکه نیاز به احراز هویت باشد.

Execution (TA0002)

اجرای اسکریپت جاوااسکریپت مخرب در DOM مرورگر رخ می‌دهد؛ این کد مستقیماً UI مربوط به Site Permissions را دستکاری کرده و رابط جعلی درخواست مجوز را رندر می‌کند.

Privilege Escalation (TA0004)

ارتقای سطح دسترسی از طریق فریب کاربر انجام می‌شود: اسکریپت تزریق‌شده با ایجاد پنجره مجوز جعلی، کاربر را به سمت «Allow» هدایت می‌کند و همین عمل، دسترسی‌ سطح بالا به دوربین/میکروفون/لوکیشن فراهم می‌کند که معمولاً بدون تأیید واقعی کاربر ممکن نیست.

Defense Evasion (TA0005)

کد مخرب با شبیه‌سازی کامل UI رسمی Firefox/Thunderbird تلاش می‌کند فرآیند شناسایی را دور بزند؛ استفاده از HTTPS، استایل‌های مشابه UI و رندر هم‌زمان عناصر legit باعث می‌شود حمله در نگاه کاربر و ابزارهای ساده امنیتی قابل تشخیص نباشد.

Collection (TA0009)

پس از گرفتن مجوز، مهاجم می‌تواند جریان داده‌های صوتی، تصویری یا موقعیت جغرافیایی را جمع‌آوری کند. این جمع‌آوری ممکن است از طریق WebRTC یا API های استاندارد مرورگر انجام شود و نیاز به هیچ کد بیشتری در سیستم قربانی ندارد.

Impact (TA0040)

پیامد اصلی شامل افشای اطلاعات حساس، دسترسی غیرمجاز به دوربین/میکروفون، جعل اعتماد کاربر و امکان برداشت داده‌های خصوصی است. این حمله integrity و confidentiality را هم‌زمان تهدید می‌کند و می‌تواند مبنایی برای حملات مهندسی اجتماعی عمیق‌تر شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-10534
2. https://www.cvedetails.com/cve/CVE-2025-10534/
3. https://www.mozilla.org/security/advisories/mfsa2025-73/
4. https://www.mozilla.org/security/advisories/mfsa2025-77/
5. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10534
6. https://vuldb.com/?id.324468
7. https://nvd.nist.gov/vuln/detail/CVE-2025-10534
8. https://cwe.mitre.org/data/definitions/79.html