Mozilla Foundation и Tor выпустили внеплановые обновления для нейтрализации опасной уязвимости в своих браузерах.
Внепланово и срочно
Mozilla Foundation и Tor выпустили экстренное обновление для «бага» в браузерах Firefox и Tor, который позволяет получить полный контроль над компьютером, на котором установлены эти браузеры.
Уязвимость CVE-2019-11707 относится к типу "type confusion" (несоответствие используемых типов данных). Причиной её возникновения стали проблемы в обработке типов данных в методе Array.pop, используемом при работе браузера с объектами JavaScript. Согласно описанию на сайте Mozilla, это может привести к «эксплуатируемому сбою» в работе браузера.
Уязвимость критическая, поскольку допускает запуск произвольного кода (говоря конкретнее, вредоносного JavaScript прямо в браузере) и впоследствии - перехват контроля над всей системой.
Затронуты все версии Firefox и Firefox ESR под Windows, macOS и Linux. Внеплановые обновления Firefox 67.0.3 и Firefox ESR 60.7.1 исправляют проблему.
Атаки уже начались
Неизвестные злоумышленники уже использовали уязвимость в серии фишинговых атак 17 июня 2019 г. В течение суток после их обнаружения, как заявили представители Mozilla, был выпущен патч.
Между тем, Самуэль Гросс (Samuel Groß), эксперт Google Project Zero, утверждает, что он обнаружил эту уязвимость ещё в середине апреля, и что патч для неё начали выкатывать ещё неделю назад - по-видимому, в публичных бета-версиях браузера.
Гросс также заметил, что эксплуатация с удалённым запуском вредоносного кода потребует от злоумышленника производить ещё и выход за пределы «песочницы». Впрочем, есть также вариант использовать её в контексте универсального межсайтового скриптинга, - в некоторых случаях этого будет вполне достаточно для целей злоумышленника.
Что касается браузера Tor (основу которого составляет код Firefox), то данная уязвимость вообще не затрагивает тех пользователей, которые используют режимы повышенной и максимальной безопасности (Safer/Safest). Для остальных выпущены обновления браузера 8.5.2 и аддона NoScript 10.6.3, нейтрализующее «баг».
«Баг опасен при любом раскладе, - полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Так что если обновления затронутых браузеров не производятся автоматически, настоятельно рекомендуется обновить их вручную как можно скорее. Возможно, задействовать её для запуска вредоносного кода в целевой системе не настолько просто, чтобы с этим справился начинающий, но тем не менее, атаки уже имели место быть, а следовательно, угроза требует немедленной нейтрализации».
Подробностей о произошедших в начале недели атаках с использованием данных уязвимостей, никто пока не опубликовал.
Источник:http://safe.cnews.ru/news/top/2019-06-
Поиск
Последние комментарии
aliexpress
apple
chatgpt
chrome
cnews.ru
cуд
darknet
ddos
facebook
github
google
instagram
ip
it
mail.ru
meduza.io
securitylab.ru
starlink
telegram
tiktok
tor
twitch
twitter
visa
vpn
whatsapp
xakep.ru
youtube
александр жаров
база данных
безопасность
биткоин
блокировка
браузер
брест
википедия
вконтакте
германия
гик
госдумa
госдума
даркнет
депутаты
дуров
закон
ии
илон маск
интересное
интернет
инттернет
исследование
квартиры от застройщика с отделкой цены
китай
криптовалюта
криптография
критовылюта
лаборатория касперского
майнинг
мвд
мессенджер
минпросвещения
минцифры
мошенники
налог
наркотик
новости
павел дуров
паспорт
пиратство
пираты
поиск
поисковик
путин
реклама
ржд
ркн
роскомнадзор
россия
росссия
рунет
сайт
сеть
слежка
смешное
суд
сша
телефон
технология
торговля
трудно быть богом
утечка
фишинг
фсб
фсо
хакер
хакеры
хулиганство
цензура
штраф
яндекс
Новый участник | errolpelle |
Всего участников | 19380 |
Всего статей | 497 |
Горячие статьи | 9 |
Новая статья | 488 |
Голосов за статьи | 588 |
Комментарии | 73 |
Голосов за комментарии | 40 |
Группы | 7 |
Войдите, чтобы комментировать или зарегистрируйтесь здесь.