Инженеры Mozilla выпустили Firefox 67.0.3 и Firefox ESR 60.7.1, устранив в браузере уязвимость нулевого дня, которая уже находилась под атаками. Сообщается, что обнаруженный баг получил статус критического, так как он позволял выполнить произвольный код на машинах с уязвимыми версиями Firefox.

Хуже того, разработчики предупредили, что им уже известно о случаях эксплуатации данной уязвимости злоумышленниками, что позволяет хакерам установить контроль над проблемными системами.

Уязвимость была обнаружена специалистом Google Project Zero Сэмюелем Гроссом  и командой Coinbase Security. Проблема получила идентификатор CVE-2019-11707 и представляет собой баг типа type confusion, который позволяет манипулировать объектами JavaScript через Array.pop. Фактически злоумышленники могут вынудить пользователя посетить вредоносную страницу и таким образом получают возможность выполнить произвольный код на машинах своих жертв.

Хотя детальной информации о проблеме опубликовано не было, американское подразделение кибербезопасности, Cybersecurity and Infrastructure Security Agency (CISA), уже предупредило о высокой опасности данной уязвимости и призвало пользователей как можно скорее обновить свои браузеры. Учитывая, что в раскрытии уязвимости участвовали специалисты Coinbase Security, можно предположить, что эксплуатация бага была связана с атаками на владельцев криптовалют.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии