Нова година, нови проблеми. Днес ще ви запознаем с уязвимостта в популярния браузър Mozilla Firefox, който носи екзотичното име CVE-2019-17026. Проблемът е критичен, така че Ви съветваме ако използвате Firefox и все още не сте го обновили до последната му версия – направете го възможно най-бързо. Версиите Firefox 72.0.1 и Firefox ESR 68.4.1 са налични и може да ги свалите като кликнете на имената им тук, от сайта на Mozilla, или от секцията Аbout на вашия браузър.
За какво става въпрос по-конкретно?
Специалистите по информационна сигурност от Qihoo 360 ATA откриват критичната уязвимост (zero-day), която е била използвана от неизвестна група за реални кибер атаки. Обозначена е с номер „CVE-2019-17026“.
Тя представлява type confusion vulnerability в JIT (just in time) компилатора IonMonkey, който пък бива използван от JavaScript енджина на Mozilla (SpiderMonkey). По-конкретно, липсва валидиране на типа на обекта, получен от енджина, което може до доведе до сриване на приложението или дори до изпълнение на опасен код.
Уязвимостта при объркване на типа възниква, когато кодът не валидира типа на получения обект преди да го използва. Това позволява на атакуващия да компрометира работата на приложението или дори да успее да изпълни зловреден код.
Според Mozilla, „Грешен alias в IonMonkey компилатора, използван за подаване на елементи от масив, може да доведе до type confusion.“
Това означава, че уязвимостта може да бъде използвана от разстояние. Нападателят трябва само да убеди жертвата да посети специално създадена за целта уеб страница, за да изпълни свой код в контекста на Firefox.
По подразбиране Firefox автоматично инсталира наличните актуализации и активира нова версия след рестартиране на браузъра. Въпреки това, винаги може да направите и ръчна актуализация. Просто използвайте вградената функционалност като отидете на Menu -> Help -> About Mozilla Firefox.
А Вие ползвате ли Firefox? Направихте ли вече нужното, за да се предпазите от CVE-2019-17026?
Присъединете се към нашата официална Фейсбук група – Технологичното общество на България, за да бъдете в час с всички актуални технологични бъгове и проблеми.