خانه » CVE-2025-10535
هشدار‌های سایبری

CVE-2025-10535

Information disclosure, mitigation bypass in the Privacy component in Firefox for Android

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 172 بازدید
هشدار سایبری CVE-2025-10535
  • شناسه CVE-2025-10535 :CVE
  • CWE-200 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 16, 2025
  • به روز شده: اکتبر 30, 2025
  • امتیاز: 7.5
  • نوع حمله: Authorization Bypass
  • اثر گذاری: Information Disclosure
  • حوزه: مرورگرها
  • برند: Mozilla
  • محصول: Firefox
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری افشای اطلاعات (Information Disclosure) و دور زدن مکانیزم‌های حفاظتی (Mitigation Bypass) در کامپوننت حریم خصوصی (Privacy) مرورگر Firefox برای اندروید شناسایی شده است. این ضعف به مهاجم اجازه می‌دهد تا بدون مجوز به افشای اطلاعات حساس بپردازد، مکانیزم‌های امنیتی مرورگر را دور بزند و منجر به نقض حریم خصوصی کاربران اندرویدی شود.

توضیحات

آسیب‌پذیری CVE-2025-10535 از نوع افشای اطلاعات (Information Disclosure) و دور زدن مکانیزم‌های حفاظتی کامپوننت حریم خصوصی (Privacy) مرورگر Firefox برای اندروید است. این آسیب‌پذیری ناشی از افشای اطلاعات حساس به عامل غیرمجاز مطابق با CWE-200 است و به ضعفی اشاره دارد که در آن، محصول اطلاعات حساس را به گونه‌ای مدیریت می‌کند که عوامل غیرمجاز می‌توانند به آن دسترسی یابند، بدون اینکه کنترل‌های لازم اعمال شود. در این مورد خاص، ضعف در کامپوننت Privacy منجر به افشای اطلاعات حساس مانند داده‌های مرورگر، کوکی‌ها یا تنظیمات حریم خصوصی می‌شود و همزمان، مکانیزم‌های حفاظتی مانند فیلترهای ردیابی (Tracking Protection) یا ایزوله‌سازی داده‌ها را دور می‌زند.

این آسیب‌پذیری در مرورگر Firefox برای اندروید رخ می‌دهد که نسخه موبایل مرورگر موزیلا برای سیستم‌عامل اندروید است. مهاجم می‌تواند از راه دور، بدون نیاز به تعامل کاربر و بدون دسترسی ویژه، از آن بهره‌برداری کند. این بهره‌برداری معمولاً از طریق وب‌سایت‌های مخرب یا اسکریپت‌های جاوااسکریپت تزریقی انجام می‌شود، جایی که مهاجم می‌تواند بدون اینکه کاربر متوجه شود، اطلاعات حساس را استخراج کند. به‌عنوان مثال، مهاجم می‌تواند با دور زدن مکانیزم‌های حریم خصوصی، به داده‌هایی مانند تاریخچه مرورگر یا اطلاعات فرم‌های کاربر دسترسی یابد.

اگرچه این آسیب‌پذیری به عنوان افشای اطلاعات توصیف شده اما از منظر CVSS، اثر اصلی آن بر یکپارچگی داده‌ها است. به عبارت دیگر، مهاجم نه‌تنها می‌تواند اطلاعات را مشاهده کند، بلکه ممکن است بتواند داده‌های حساس را دستکاری یا تغییر دهد. افشای اطلاعات و دور زدن کنترل‌های حفاظتی در این سناریو نقش تسهیل‌کننده دارند و امکان دستیابی مهاجم به تغییرات ناخواسته در داده‌ها را فراهم می‌کنند. این آسیب‌پذیری با انتشار نسخه 143 مرورگر Firefox برای اندروید به‌طور کامل پچ شده است.

CVSS

Score Severity Version Vector String
7.5 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

لیست محصولات آسیب پذیر

Versions Platforms Product
affected before 143 Android Firefox

لیست محصولات بروز شده

Versions Platforms Product
143 Android Firefox

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Firefox را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
712,000 site:.ir “Firefox” Firefox

نتیجه گیری

این آسیب‌پذیری با شدت بالا در کامپوننت Privacy مرورگر Firefox برای اندروید، ناشی از افشای اطلاعات و دور زدن مکانیزم‌های حفاظتی بوده و می‌تواند منجر به استخراج ،دستکاری یا تغییر داده‌های حساس بدون مجوز شود. مهاجم با بهره‌برداری از راه دور، تنظیمات حریم خصوصی را دور زده و اطلاعات کاربر را افشا می‌کند. با توجه به انتشار پچ رسمی، اجرای فوری اقدامات زیر برای رفع کامل آسیب‌پذیری و کاهش ریسک ضروری است:

  • به‌روزرسانی فوری: تمام نصب‌های Firefox برای اندروید را به نسخه 143 یا بالاتر به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
  • فعال‌سازی ویژگی‌های امنیتی پیش‌فرض: در Firefox برای اندروید، حالت Enhanced Tracking Protection را روی Strict قرار دهید تا کوکی‌ها و داده‌های ردیابی به صورت کامل ایزوله شوند و مکانیزم‌های حفاظتی تقویت شوند.
  • استفاده از فایروال اپلیکیشن وب (WAF) و افزونه‌ها: نصب افزونه‌هایی مانند uBlock Origin، Privacy Badger و HTTPS Everywhere و همچنین استفاده از فایروال‌های اپلیکیشن وب مانند Cloudflare یا ModSecurity، الگوهای مشکوک و درخواست‌های ناامن را مسدود می‌کند.
  • نظارت و آموزش کاربران: لاگ‌های مرورگر را با ابزارهایی مانند Firefox Developer Tools یا افزونه‌های مانیتورینگ بررسی کنید تا تلاش‌های افشای اطلاعات شناسایی شود. کاربران باید آموزش ببینند که تنظیمات حریم خصوصی را بررسی کرده و از وارد کردن اطلاعات حساس در فرم‌های مشکوک خودداری کنند.
  • ایزوله‌سازی محیط اجرا: مرورگر و اپلیکیشن‌ها در محیط‌های ایزوله مانند فعال‌سازی App Sandboxing در اندروید و استفاده از کانتینرهای ایزوله اجرا شوند.
  • تست امنیتی منظم: مرورگر و وب‌سایت‌های داخلی را با ابزارهای اسکن مانند OWASP ZAP یا Mozilla Observatory تست کنید تا سناریوهای افشای اطلاعات و دورزدن شناسایی شود. از تکنیک Fuzzing (تست ورودی‌های تصادفی) برای ارزیابی مقاومت کامپوننت Privacy بهره ببرید.
  • سیاست‌های سازمانی: در محیط‌های سازمانی، از مدیریت دستگاه موبایل (MDM) برای اجبار به‌روزرسانی و مسدود کردن دسترسی‌های خودکار به داده‌های حساس استفاده کنید. همچنین، سیستم‌های مدیریت اطلاعات و رویدادهای امنیتی (SIEM) برای نظارت بر تلاش‌های دور زدن حریم خصوصی را پیاده‌سازی کنید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی فوری، ریسک ناشی از این آسیب‌پذیری را به حداقل می‌رساند و امنیت حریم خصوصی را در اکوسیستم موزیلا تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
آسیب‌پذیری CVE-2025-10535 در مرورگر Firefox برای اندروید، مهاجم را قادر می‌سازد بدون تعامل کاربر یا دسترسی ویژه، به داده‌های حساس مرورگر history، cookies و تنظیمات Privacyدسترسی پیدا کند. این دسترسی از طریق وب‌سایت‌های مخرب یا اسکریپت‌های تزریقی جاوااسکریپت انجام می‌شود و نقطه ورود اولیه برای بهره‌برداری از اطلاعات کاربران است.

Defense Evasion (TA0005)
مکانیزم‌های حفاظتی Privacy Component و Tracking Protection مرورگر دور زده می‌شوند، بنابراین مهاجم بدون کشف توسط مکانیزم‌های پیش‌فرض می‌تواند داده‌ها را استخراج کند.

Collection (TA0009)
داده‌های حساس کاربر شامل تاریخچه مرور، کوکی‌ها و تنظیمات Privacy جمع‌آوری می‌شوند و مهاجم می‌تواند آن‌ها را استخراج کند.

Exfiltration (TA0010)
اطلاعات حساس جمع‌آوری‌شده می‌توانند از طریق وب‌سایت مخرب یا payloadهای تزریقی خارج شوند، بدون آنکه قربانی متوجه شود.

Impact (TA0040)
اثر اصلی بر Confidentiality داده‌ها است؛ مهاجم می‌تواند به داده‌های خصوصی کاربر دسترسی پیدا کند و در صورت ترکیب با سایر ضعف‌ها، ممکن است تغییرات محدود در اطلاعات session ایجاد شود.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-10535
  2. https://www.cvedetails.com/cve/CVE-2025-10535/
  3. https://www.mozilla.org/security/advisories/mfsa2025-73/
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10535
  5. https://vuldb.com/?id.324472
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-10535
  7. https://cwe.mitre.org/data/definitions/200.html

همچنین ممکن است دوست داشته باشید

CVE-2026-41089

CVE-2026-2441

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.