У Mozilla Firefox усунені дві вразливості нульового дня

Розробники компанії Mozilla випустили нові версії веб-оглядачів Firefox 74.0.1 і Firefox ESR 68.6.1. Користувачам рекомендується оновити свої браузери, оскільки в представлених версіях виправлені дві вразливості нульового дня, які використовуються хакерами на практиці.

Мова йде про уразливість CVE-2020-6819 і CVE-2020-6820, пов’язаних з тим, як Firefox управляє своїм простором пам’яті. Вони являють собою так звані уразливості використання пам’яті після вивільнення і дозволяють хакерам розміщувати довільний код у пам’яті Firefox для подальшого його виконання в контексті браузера. Такі уразливості можуть використовуватися для віддаленого виконання коду на пристроях жертви.

Детальна інформація про реальних атаках з використанням згаданих вразливостей не розкривається, що є звичайною практикою серед постачальників програмного забезпечення і дослідників в сфері інформаційної безпеки. Це пов’язано з тим, що всі вони зазвичай орієнтуються на оперативне усунення виявлених проблем і доставку виправлень користувачам, а вже після цього здійснюється більш детальне розслідування атак.


Згідно з наявними даними, розслідування атак з використанням цих вразливостей Mozilla буде проводити спільно з ІБ-компанією JMP Security і дослідником Франциско Алонсо (Francisco Alonso), який першим і виявив проблему. Дослідник припускає, що усунений в останньому оновленні Firefox уразливості можуть зачіпати інші браузери, хоча випадків, коли помилки експлуатувалися хакерами в різних веб-браузерах, невідомі.