Najnowsza wersja Firefoxa oznaczona numerem 72 niosła ze sobą wiele nowych funkcji mających ochronić naszą prywatność w sieci. Niestety, przy okazji wiąże się ona z poważną luką, która dość drastycznie obniża poziom bezpieczeństwa. Sytuacja ta niesie ze sobą pewną kwestię: zawsze należy się wstrzymać z aktualizacjami, przynajmniej przez kilka dni. W ten sposób można uniknąć nieprzyjemnych sytuacji.
Luka w Firefox 72
Reakcja Mozilli była natomiast bezbłędna. Stosowana poprawka pojawiła się już w 24 godziny od jego wykrycia. W celu jej wprowadzenia do naszej przeglądarki musimy zaktualizować ją do wersji 72.0.1. Co nam jednak zagrażało? Błąd ten umożliwiał przejęcia pełnej kontroli nad komputerami, na których rzeczona przeglądarka została zainstalowana. Co więcej, Amerykańska Agencja Bezpieczeństwa Cyberprzestrzeni i Infrastruktury (CISA) wydała poradnik dotyczący bezpieczeństwa, wyjaśniając, że istnieją wystarczające dowody na to, że hakerzy wykorzystują tę konkretną lukę.
Zobacz też: Budżetowy router Wi-Fi 6? Netgear udowadnia, że to możliwe
Mozilla twierdzi, że luka została odkryta i zgłoszona przez naukowców z chińskiego oddziału Qihoo 360. Najwyraźniej błąd zaindeksowany jako CVE-2019-17026 jest podatnością typu type confusion, która wpływa na kompilator IonMonkey just-in-time. Ten z kolei jest istotną częścią Mozilla SpiderMonkey JavaScript Engine. W prostych słowach: jest to błąd pamięci, w którym program przydziela zasoby jako jeden typ. Jednak później uzyskuje do nich dostęp jak do innego typu. Pozwala to atakującym na dostęp do danych przechowywanych w innych lokalizacjach pamięci, które normalnie są niedostępne, oraz na wykonanie kodu na podatnym systemie za pomocą specjalnie spreparowanych stron internetowych.
Źródło: TechSpot