spot_img
19 марта, 2024
ДомойSoftwareКибербезопасностьУязвимость в браузерах Firefox и Tor позволяет получить полный контроль над компьютером

Уязвимость в браузерах Firefox и Tor позволяет получить полный контроль над компьютером

Mozilla Foundation и Tor выпустили внеплановые обновления для нейтрализации опасной уязвимости в своих браузерах Firefox и Tor, которая позволяет получить полный контроль над компьютером, на котором установлены эти браузеры.

Уязвимость CVE-2019-11707 относится к типу «type confusion» (несоответствие используемых типов данных). Причиной ее возникновения стали проблемы в обработке типов данных в методе Array.pop, используемом при работе браузера с объектами JavaScript. Согласно описанию на сайте Mozilla, это может привести к «эксплуатируемому сбою» в работе браузера.

Уязвимость критическая, поскольку допускает запуск произвольного кода (говоря конкретнее, вредоносного JavaScript прямо в браузере) и впоследствии — перехват контроля над всей системой.

Затронуты все версии Firefox и Firefox ESR под Windows, macOS и Linux. Внеплановые обновления Firefox 67.0.3 и Firefox ESR 60.7.1 исправляют проблему.

17 июня неизвестные злоумышленники уже использовали уязвимость в серии фишинговых атак. В течение суток после их обнаружения, как заявили представители Mozilla, был выпущен патч.

Между тем, Самуэль Гросс (Samuel Groß), эксперт Google Project Zero, утверждает, что он обнаружил эту уязвимость еще в середине апреля, и что патч для нее начали выкатывать еще неделю назад — по-видимому, в публичных бета-версиях браузера.

Гросс также заметил, что эксплуатация с удаленным запуском вредоносного кода потребует от злоумышленника производить еще и выход за пределы «песочницы». Впрочем, есть также вариант использовать ее в контексте универсального межсайтового скриптинга, — в некоторых случаях этого будет вполне достаточно для целей злоумышленника.

Tor Firefox

Что касается браузера Tor (основу которого составляет код Firefox), то данная уязвимость вообще не затрагивает тех пользователей, которые используют режимы повышенной и максимальной безопасности (Safer/Safest). Для остальных выпущены обновления браузера 8.5.2 и аддона NoScript 10.6.3, нейтрализующее «баг».

Подробностей о произошедших в начале недели атаках с использованием данных уязвимостей, никто пока не опубликовал, сообщает cnews.ru.

НОВОСТИ ПО ТЕМЕ

СОЦИАЛЬНЫЕ СЕТИ

12,059ФанатыМне нравится
1,020ЧитателиЧитать
3,086ЧитателиЧитать
709ПодписчикиПодписаться
- Реклама -
- Реклама -
- Реклама -