Mozilla Foundation и Tor выпустили внеплановые обновления для нейтрализации опасной уязвимости в своих браузерах Firefox и Tor, которая позволяет получить полный контроль над компьютером, на котором установлены эти браузеры.
Уязвимость CVE-2019-11707 относится к типу «type confusion» (несоответствие используемых типов данных). Причиной ее возникновения стали проблемы в обработке типов данных в методе Array.pop, используемом при работе браузера с объектами JavaScript. Согласно описанию на сайте Mozilla, это может привести к «эксплуатируемому сбою» в работе браузера.
Уязвимость критическая, поскольку допускает запуск произвольного кода (говоря конкретнее, вредоносного JavaScript прямо в браузере) и впоследствии — перехват контроля над всей системой.
Затронуты все версии Firefox и Firefox ESR под Windows, macOS и Linux. Внеплановые обновления Firefox 67.0.3 и Firefox ESR 60.7.1 исправляют проблему.
17 июня неизвестные злоумышленники уже использовали уязвимость в серии фишинговых атак. В течение суток после их обнаружения, как заявили представители Mozilla, был выпущен патч.
Между тем, Самуэль Гросс (Samuel Groß), эксперт Google Project Zero, утверждает, что он обнаружил эту уязвимость еще в середине апреля, и что патч для нее начали выкатывать еще неделю назад — по-видимому, в публичных бета-версиях браузера.
Гросс также заметил, что эксплуатация с удаленным запуском вредоносного кода потребует от злоумышленника производить еще и выход за пределы «песочницы». Впрочем, есть также вариант использовать ее в контексте универсального межсайтового скриптинга, — в некоторых случаях этого будет вполне достаточно для целей злоумышленника.
Что касается браузера Tor (основу которого составляет код Firefox), то данная уязвимость вообще не затрагивает тех пользователей, которые используют режимы повышенной и максимальной безопасности (Safer/Safest). Для остальных выпущены обновления браузера 8.5.2 и аддона NoScript 10.6.3, нейтрализующее «баг».
Подробностей о произошедших в начале недели атаках с использованием данных уязвимостей, никто пока не опубликовал, сообщает cnews.ru.
