https://rs.rottenswamp.ru/Internet/S-POMOSHCHYU-BRAUZERA-tor-MOZHNO-ZAKHVATIT-PK-POD-windows-linux-I-macos-ATAKI-UZHE-NACHALIS/ Mozilla Foundation и Tor выпустили внеплановые обновления для нейтрализации опасной уязвимости в своих браузерах. Внепланово и срочно Mozilla Foundation и Tor выпустили экстренное обновление для «бага» в браузерах Firefox и Tor, который позволяет получить полный контроль над компьютером, на котором установлены эти браузеры. Уязвимость CVE-2019-11707 относится к типу "type confusion" (несоответствие используемых типов данных). Причиной её возникновения стали проблемы в обработке типов данных в методе Array.pop, используемом при работе браузера с объектами JavaScript. Согласно описани Подробностию на сайте Mozilla, это может привести к «эксплуатируемому сбою» в работе браузера. Уязвимость критическая, поскольку допускает запуск произвольного кода (говоря конкретнее, вредоносного JavaScript прямо в браузере) и впоследствии - перехват контроля над всей системой. Затронуты все версии Firefox и Firefox ESR под Windows, macOS и Linux. Внеплановые обновления Firefox 67.0.3 и Firefox ESR 60.7.1 исправляют проблему. Атаки уже начались Неизвестные злоумышленники уже использовали уязвимость в серии фишинговых атак 17 июня 2019 г. В течение суток после их обнаружения, как заявили представители Mozilla, был выпущен патч. Между тем, Самуэль Гросс (Samuel Groß), эксперт Google Project Zero, утверждает, что он обнаружил эту уязвимость ещё в середине апреля, и что патч для неё начали выкатывать ещё неделю назад - по-видимому, в публичных бета-версиях браузера. Гросс также заметил, что эксплуатация с удалённым запуском вредоносного кода потребует от злоумышленника производить ещё и выход за пределы «песочницы». Впрочем, есть также вариант использовать её в контексте универсального межсайтового скриптинга, - в некоторых случаях этого будет вполне достаточно для целей злоумышленника. Что касается браузера Tor (основу которого составляет код Firefox), то данная уязвимость вообще не затрагивает тех пользователей, которые используют режимы повышенной и максимальной безопасности (Safer/Safest). Для остальных выпущены обновления браузера 8.5.2 и аддона NoScript 10.6.3, нейтрализующее «баг». «Баг опасен при любом раскладе, - полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Так что если обновления затронутых браузеров не производятся автоматически, настоятельно рекомендуется обновить их вручную как можно скорее. Возможно, задействовать её для запуска вредоносного кода в целевой системе не настолько просто, чтобы с этим справился начинающий, но тем не менее, атаки уже имели место быть, а следовательно, угроза требует немедленной нейтрализации». Подробностей о произошедших в начале недели атаках с использованием данных уязвимостей, никто пока не опубликовал. Источник:http://safe.cnews.ru/news/top/2019-06- Sat, 22 Jun 2019 13:45:38 UTC en