Η Mozilla κυκλοφόρησε μια νέα έκδοση του Firefox που επιδιορθώνει ένα ενεργά εκμεταλλευόμενο zeroday που θα μπορούσε να επιτρέψει στους επιτιθέμενους να πάρουν τον έλεγχο των υπολογιστών των χρηστών.
Σε ένα advisory, η Mozilla αξιολόγησε την κρίσιμη ευαισθησία και είπε ότι «γνώριζε στοχοθετημένες επιθέσεις στο φυσικό περιβάλλον που εκμεταλλεύονταν αυτό το ελάττωμα». Η εταιρεία δήλωσε ότι ένα ή περισσότερα exploit “εντοπίστηκαν” και προειδοποίησαν ότι οι επιθέσεις θα μπορούσαν να αξιοποιηθούν για να “αναλάβουν τον έλεγχο ενός επηρεασμένου συστήματος“. Οι συμβουλευτικοί ερευνητές της Mozilla συζήτησαν ερευνητές στο Qihoo 360 με έδρα την Κίνα, αναφέροντας το ελάττωμα. Καμία άλλη λεπτομέρεια σχετικά με τις επιθέσεις δεν είναι διαθέσιμη.
Το CVE-2019-17026, είναι τύπου ”Type Confusion’, ένα δυνητικά κρίσιμο σφάλμα που μπορεί να οδηγήσει σε γραπτά δεδομένα ή ανάγνωση από τοποθεσίες μνήμης που συνήθως είναι εκτός ορίων. Αυτές οι αναγνώσεις εκτός ορίων επιτρέπουν στους επιτιθέμενους να εντοπίζουν θέσεις μνήμης όπου αποθηκεύεται κακόβουλος κώδικας, έτσι ώστε να μπορούν να παρακάμψουν προστασίες όπως η τυχαία διάρθρωση χώρου. Οι αναγνώσεις εκτός ορίων μπορούν επίσης να προκαλέσουν βλάβες.
Το ελάττωμα έχει καθοριστεί στην έκδοση της Τρίτης του Firefox 72.0.1. Το patch ήρθε μια μέρα αφού η έκδοση 72 διέθετε 11 άλλα τρωτά σημεία, έξι από τα οποία είχαν υψηλή βαθμολογία. Τρία από αυτά τα έξι σφάλματα θα μπορούσαν να επιτρέψουν στους επιτιθέμενους να εκτελέσουν κακόβουλο κώδικα στους επηρεαζόμενους υπολογιστές.
Η επιδιόρθωση του CVE-2019-17026 έρχεται επτά μήνες μετά την επέκταση του Mozilla από ένα ζευγάρι ισχυρών zerodays που οι εισβολείς εκμεταλλεύτηκαν σε μια προσπάθεια να εγκαταστήσουν ένα μη εντοπισμένο backdoor σε υπολογιστές Mac που χρησιμοποιούνται από την κρυπτογράφηση Coinbase.
Αν και οι λεπτομέρειες των νέων exploits δεν είναι διαθέσιμες, οι χρήστες του Firefox θα πρέπει να εγκαταστήσουν την ενημερωμένη έκδοση κώδικα το συντομότερο δυνατό. Ο ευκολότερος τρόπος για να γίνει αυτό είναι να χρησιμοποιήσετε τη δυνατότητα ενημέρωσης σε πρόγραμμα περιήγησης, η οποία είναι διαθέσιμη κάνοντας κλικ στο κουμπί “Σχετικά με τον Firefox”. Στα Windows, είναι διαθέσιμη στην ενότητα Help του μενού. Σε Mac, βρίσκεται στο τμήμα του Firefox του μενού.
Πηγή: secnews.gr
