Android အတွက် Firefox တွင် လေးနက်သည်။ protocol အကောင်အထည်ဖော်မှုတွင် ဒေသတွင်း ကွန်ရက်တစ်ခုပေါ်တွင် ကွန်ရက်ဝန်ဆောင်မှုများကို ရှာဖွေတွေ့ရှိရန် အသုံးပြုသည်။ အားနည်းချက်သည် တူညီသောဒေသတွင်း သို့မဟုတ် ကြိုးမဲ့ကွန်ရက်ပေါ်တွင်ရှိသော တိုက်ခိုက်သူတစ်ဦးအား UPnP XML "LOCATION" မက်ဆေ့ခ်ျဖြင့် Firefox စုံစမ်းစစ်ဆေးရေးတောင်းဆိုမှုများကို တုံ့ပြန်ရန် ခွင့်ပြုသည်။ ဘရောင်ဇာတွင် မထင်သလို URI တစ်ခုကို ဖွင့်နိုင်သည် သို့မဟုတ် အခြား အပလီကေးရှင်းများ၏ ကိုင်တွယ်သူများကို ခေါ်ဆိုနိုင်သည်။
လွတ်မြောက်သည်အထိ ပြဿနာက သူ့အလိုလိုပေါ်လာသည်။ နှင့် Android 79 အတွက် Firefox ဗားရှင်းတွင် ဖယ်ထုတ်ထားသည်။ Android အတွက် Firefox ၏ ဂန္တဝင်တည်းဖြတ်မှုများ အဟောင်းများသည် အားနည်းချက်ရှိပြီး အဆင့်မြှင့်တင်ရန် လိုအပ်သည်။ Firefox Quantum နည်းပညာများပေါ်တွင်တည်ဆောက်ထားသော GeckoView အင်ဂျင်ကိုအသုံးပြုသည့်ဘရောက်ဆာ (Fenix) နှင့်စာကြည့်တိုက်များ . ဤပြဿနာကြောင့် Firefox ၏ ဒက်စ်တော့ဗားရှင်းများကို မထိခိုက်ပါ။
အားနည်းချက်စမ်းသပ်မှုများအတွက် exploit ၏ ရှေ့ပြေးပုံစံ။ တိုက်ခိုက်မှုကို အသုံးပြုသူဘက်မှ တစ်စုံတစ်ရာ အရေးယူခြင်းမပြုဘဲ လုပ်ဆောင်ခြင်းဖြစ်သည်၊ Android အတွက် အားနည်းချက်ရှိသော Firefox ဘရောက်ဆာသည် မိုဘိုင်းလ်စက်ပစ္စည်းပေါ်တွင် အလုပ်လုပ်နေပြီး သားကောင်သည် တိုက်ခိုက်သူ၏ SSDP ဆာဗာနှင့် တူညီသော subnet တွင် ရှိနေကြောင်း လုံလောက်ပါသည်။
Android အတွက် Firefox သည် ဒေသန္တရ ကွန်ရက်ပေါ်တွင် ရှိနေသည့် မာလ်တီမီဒီယာ ပလေယာများနှင့် စမတ်တီဗီများကဲ့သို့ ထုတ်လွှင့်သည့် စက်ပစ္စည်းများကို ခွဲခြားသတ်မှတ်ရန် အသံလွှင့်မုဒ် (multicast UDP) တွင် SSDP မက်ဆေ့ဂျ်များကို အခါအားလျော်စွာ ပေးပို့ပါသည်။ ဒေသတွင်း ကွန်ရက်ရှိ စက်များအားလုံးသည် ဤမက်ဆေ့ချ်များကို လက်ခံရရှိပြီး တုံ့ပြန်မှုတစ်ခု ပေးပို့နိုင်စွမ်းရှိသည်။ ပုံမှန်အားဖြင့်၊ စက်သည် UPnP ဖွင့်ထားသော စက်ပစ္စည်းအကြောင်း အချက်အလက်ပါရှိသော XML ဖိုင်တစ်ခု၏ တည်နေရာသို့ လင့်ခ်တစ်ခုကို ပြန်ပေးသည်။ တိုက်ခိုက်မှုတစ်ခုလုပ်ဆောင်သည့်အခါ၊ XML သို့ လင့်ခ်တစ်ခုအစား၊ သင်သည် Android အတွက် ရည်ရွယ်ချက်အမိန့်များနှင့်အတူ URI ကို ဖြတ်သန်းနိုင်သည်။
ရည်ရွယ်ချက် ညွှန်ကြားချက်များကို အသုံးပြု၍ သင်သည် သုံးစွဲသူအား phishing ဆိုက်များသို့ ပြန်ညွှန်းနိုင်သည် သို့မဟုတ် xpi ဖိုင်တစ်ခုသို့ လင့်ခ်တစ်ခုကို ပေးပို့နိုင်သည် (ဘရောက်ဆာမှ အပိုပရိုဂရမ်ကို ထည့်သွင်းရန် သင့်အား သတိပေးမည်)။ တိုက်ခိုက်သူ၏ တုံ့ပြန်မှုများကို မည်သည့်နည်းဖြင့်မျှ ကန့်သတ်မထားသောကြောင့်၊ သုံးစွဲသူသည် အမှားလုပ်မိ၍ အန္တရာယ်ရှိသော ပက်ကေ့ခ်ျကို ထည့်သွင်းရန် ကလစ်နှိပ်ခြင်းဖြင့် ဘရောက်ဆာကို တပ်ဆင်မှုကမ်းလှမ်းချက်များ သို့မဟုတ် အန္တရာယ်ရှိသောဆိုက်များနှင့်အတူ ငတ်မွတ်ပြီး လွှမ်းမိုးရန် ကြိုးစားနိုင်သည်။ ဘရောက်ဆာကိုယ်တိုင်တွင် မထင်သလိုလင့်ခ်များကိုဖွင့်ခြင်းအပြင် အခြားသော Android အပလီကေးရှင်းများရှိ အကြောင်းအရာများကို လုပ်ဆောင်ရန် ရည်ရွယ်ချက်အမိန့်များကို အသုံးပြုနိုင်ပြီး ဥပမာအားဖြင့်၊ သင်သည် အီးမေးလ်ကလိုင်းယင့် (URI mailto:) တွင် စာတန်းပလိတ်တစ်ခုကို ဖွင့်နိုင်သည် သို့မဟုတ် ဖုန်းခေါ်ဆိုရန်အတွက် အင်တာဖေ့စ်ကို ဖွင့်နိုင်သည်။ (URI tel:)။
source: opennet.ru