السلام عليكم ورحمة الله وبركاته

- هذه الثغرة موجودة في اصدارات نظام التشغيل وندوز العقيم

يبدوا أن المتصفح الذي انتظره الكثيرون يحمل ثغرة خطيرة , أتعلمون ثبته ولم يرتح بالي له خاصة مع مشكلة الألوان التي حصلت معي ولهذا حذفته , و الآن إليكم الخبر منقولا من هذا الرابط ....

الخبر :

أكدت شركة موزيلا وجود ثغرة خطيرة انتشر استغلالها مسبقا بشكل علني أصابت الاصدار 3.5 من متصفح فايرفوكس ويأتى تأكيد شركة موزيلا على اصابة المتصفح بالثغرة بعد يوم واحد فقط على انتشار الاستغلال في موقع ميلوورم.

يتمكن المهاجم من استغلال الثغرة بعد توجيه المستخدم لصفحة تحتوي على كود جافاسكريبت يستغل خطأ برمجي في خاصية JIT ********** Compiler الموجودة في محرك الجافاسكريبت الخاص بمتصفح فايرفوكس لتشغيل شيل كود على جهاز المستخدم مما يؤدي لاختراقه.
وفق شركة موزيلا فريق التطوير يعمل حاليا على اصدار ترقيع للثغرة وسيتم توفيره بأقرب فرصة ممكنة لكن حتى ذلك الوقت يُنصح بتعطيل خاصية JIT في محرك الجافاسكريبت.
اكتب في شريط العنوان العلوي:

رمز Code:
about:config
للدخول لصفحة الاعدادات المتقدمة في متصفح Firefox, هذا سيؤدي لظهور رسالة تطلب منك الحذر عند تغيير هذه الاعدادات, قم بالموافقة عليها لتظهر صفحة يوجد في أعلاها شريط Filter اكتب فيه jit ثم قم بالنقر مرتين على النتيجة:

رمز Code:
java script.options.jit.content
كلمة الجافا سكريبت ملتصقة .....

وتغيير القيمة من true الى false.
عند اصدار الترقيع الأمني تذكّر من اعادة نفس الخطوات وتغيير القيمة السابقة الى true فشركة موزيلا تنصح بتطبيق هذا الحل بشكل مؤقت فقط حتى يتم اصدرا تحديث للثغرة فتعطيل الخاصية السابقة قد يؤثّر على أداء المتصفح مع العلم أن تشغيل فايرفوكس في الوضع الآمن Safe Mode يعطّل خاصية JIT بشكل افتراضي ويمنع من تنفيذ الاستغلال.

الجدير بالذكر أنه تم اضافة خاصية Just In Time Compilre للاصدار 3.1 من متصفح فايرفوكس لتحسين أداؤه وتعتبر هذه هي أول ثغرة يتم اكتشافها في متصفح Firefox 3.5.


شخصيّا أنصح الجميع باستخدام اضافة NoScript التي تقوم بتعطيل الجافاسكريبت في جميع المواقع بشكل افتراضي وتترك التحكم للمستخدم بالسماح للمواقع الموثوقة فقط كما أنها تحتوي على عدّة خصائص أخرى تحمي من العديد من الأخطار مثل ثغرات XSS, الـ ClickJacking والكثير من الأمور الأخرى.

المصدر: Mozilla Security Blog

الموضوع منقول من مجتمع ليونيكس العربي