Следующая новость
Предыдущая новость

Релиз Firefox 67.0.3 исправил уязвимость нулевого дня, которая уже находилась под атаками

19.06.2019 11:22
Релиз Firefox 67.0.3 исправил уязвимость нулевого дня, которая уже находилась под атаками

Рекомендуем почитать:

Xakep #242. Фаззинг

  • Содержание выпуска
  • Подписка на «Хакер»

Инженеры Mozilla выпустили Firefox 67.0.3 и Firefox ESR 60.7.1, устранив в браузере уязвимость нулевого дня, которая уже находилась под атаками. Сообщается, что обнаруженный баг получил статус критического, так как он позволял выполнить произвольный код на машинах с уязвимыми версиями Firefox.

Хуже того, разработчики предупредили, что им уже известно о случаях эксплуатации данной уязвимости злоумышленниками, что позволяет хакерам установить контроль над проблемными системами.

Уязвимость была обнаружена специалистом Google Project Zero Сэмюелем Гроссом и командой Coinbase Security. Проблема получила идентификатор CVE-2019-11707 и представляет собой баг типа type confusion, который позволяет манипулировать объектами JavaScript через Array.pop. Фактически злоумышленники могут вынудить пользователя посетить вредоносную страницу и таким образом получают возможность выполнить произвольный код на машинах своих жертв.

Хотя детальной информации о проблеме опубликовано не было, американское подразделение кибербезопасности, Cybersecurity and Infrastructure Security Agency (CISA), уже предупредило о высокой опасности данной уязвимости и призвало пользователей как можно скорее обновить свои браузеры. Учитывая, что в раскрытии уязвимости участвовали специалисты Coinbase Security, можно предположить, что эксплуатация бага была связана с атаками на владельцев криптовалют.

Источник

Последние новости