Безопасность в глобальной сети Интернет

Mozilla исправили уязвимость нулевого дня в Firefox 67.0.4

Недавно Mozilla исправила активно эксплуатируемый недостаток нулевого дня в браузере Firefox. Они выкатили исправление с выпуском Firefox 67.0.3. Однако через два дня после исправления им пришлось выпустить Firefox 67.0.4, а также исправить еще одну ошибку нулевого дня, которая находилась в стадии активной эксплуатации.

Активно используемая уязвимость нулевого дня в Firefox

После исправления ошибки нулевого дня в браузере Firefox, Mozilla обнаружила еще одну ошибку нулевого дня. Как и предыдущая, эта уязвимость также требовала срочного исправления из-за ее активного использования.

В недавней рекомендации, опубликованной 20 июня 2019 года, через два дня после предыдущего патча, Mozilla объяснила, что это за новый недостаток. Как сообщается, уязвимость sandbox escape (CVE-2019-11708) вместе с другими ошибками может позволить злоумышленнику выполнять произвольные коды. Как было указано в рекомендациях:

Недостаточная проверка параметров, переданных с приглашением: сообщение Open IPC между дочерними и родительскими процессами может привести к открытию веб-контента, выбранного скомпрометированным дочерним процессом. В сочетании с дополнительными уязвимостями это может привести к выполнению произвольного кода на компьютере пользователя.

Firefox 67.0.4 выпущен с исправлением ошибки zero-day

Уязвимость CVE-2019-11708 привлекла внимание Mozilla после отчета группы безопасности Coinbase. Хотя он оставался несколько неопределенным в отношении того, как ранее сообщенный недостаток (CVE-2019-11707) попал под активные эксплойты, теперь все кажется ясным. Две ошибки, CVE-2019-11707 и CVE-2019-11708, вместе беспокоили сотрудников Coinbase. Эти уязвимости позволяют злоумышленникам нацелить сотрудников криптовалютной фирмы на одну цель. Согласно тому, что Филипп Мартин, член безопасности Coinbase, сказал ZDNet,

В понедельник Coinbase обнаружила и заблокировала попытку злоумышленника использовать найденную уязвимость 0-day, а также отдельный эксплойт нулевого дня Firefox для целевых сотрудников Coinbase.

После отчетов Mozilla исправила вторую ошибку нулевого дня с выпуском Firefox 67.0.4. Кроме того, они также исправили обе уязвимости для своего почтового клиента Thunderbird, а также выпустили Thunderbird 60.7.2.

Рекомендуем обновить Firefox и Thunderbird, чтобы остаться в безопасности, в случае, если вы пользуетесь данным ПО.

Admin

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close
98 запросов. 0,614 секунд.