На этой неделе разработчики Mozilla выпустили обновленные версии Firefox (72.0.1 и ESR 68.4.1), в которых исправили уязвимость, уже активно использующуюся хакерами.
Баг, получивший идентификатор CVE-2019-17026, обнаружили эксперты китайской компании Qihoo 360, и он был связан с работой IonMonkey — JavaScript JIT компилятора SpiderMonkey, основного компонента ядра Firefox, отвечающего за операции JavaScript (JavaScript-движок браузера). Уязвимость была классифицирована как type confusion.
Пока исследователи и разработчики Firefox не сообщают, каким именно образом эту проблему использовали злоумышленники.
Журналисты издания ZDNet заметили, что эксперты Qihoo 360 опубликовал твит, в котором заявляли, будто 0-day в Firefox использовался в связке с еще одной проблемой нулевого дня в Internet Explorer. Но позже эта запись была удалена, и представители Microsoft пока не сообщают ничего о 0-day уязвимости в их браузере.