Mozilla a lansat urgent un patch pentru un atac de tip zero-day în Firefox


Agenția americană de securitate cibernetică avertizează că vulnerabilitatea critică ar putea permite atacatorilor să preia controlul computerelor afectate.

Mozilla a lansat o nouă versiune a browserului său Firefox pentru a adresa o vulnerabilitate critică de tip zero-day ce a fost exploatată în o serie de atacuri cu țintă precisă.

Cu toate acestea, detalii privind punctul slab și exploatarea acestuia nu au fost oferite. Ceea ce știm până acum, în conformitate cu articolul cu sfaturi de securitate transmis de Mozilla lansat miercuri, este faptul că s-a produs o eroare “type confusion” prezentă în IonMonkey, compilatorul just-in-time (JIT) pentru motorul browserului JavaScript SpiderMonkey.

Un avertisment al Agenției de Securitate Cibernetică și Infrastructură (CISA) a Statelor Unite constată că deficiența ar putea fi exploatată pentru a prelua controlul asupra unui sistem afectat.

Mozilla a declarat că este „conștientă de atacurile cu țintă lansate in the wild care abuzează de acest defect”. Vulnerabilitatea este monitorizată ca CVE-2019-17026 și afectează atât Firefox, cât și Firefox ESR, acesta din urmă fiind folosit de organizațiile mari.

Noile versiuni ale browserului - Firefox 72.0.1 și Firefox ESR 68.4.1 - sunt disponibile pentru toate versiunile de desktop acceptate: Windows, macOS și Linux. Inutil să adăugăm, utilizatorilor li se recomandă să nu amâne actualizarea. Corecțiile pot fi implementate accesând meniul Firefox și accesând Ajutor și apoi Despre Firefox. Pe Statcounter, Firefox deține o cotă de piață a browserului pentru desktop de 9%.

Actualizările au apărut la o zi după ce Mozilla a introdus Firefox 72.0 și Firefox ESR 68.4, care au inclus la rândul lor corecții pentru mai multe defecte de securitate, deși în mare măsură mai mici ca gravitate.

În iunie 2019, Mozilla a adresat două vulnerabilități de tip zero-day la două zile distanță. Alte browsere web, în ​​special Chrome și Internet Explorer, au primit, de asemenea, corecții de urgență pentru vulnerabilitățile de tip zero-day în ultimele luni.

În urmă cu câțiva ani, cercetătorii ESET au documentat modul în care o vulnerabilitate de tip zero-day de la acel moment, ce afecta Firefox, a fost abuzată de atacatori.

Tomas Foltyn January 10, 2020

Lasa un comentariu