Отдалечено изпълнение на код във Firefox

Браузърът Firefox има уязвимост CVE-2019-11707, според някои доклади позволявайки нападател, използващ JavaScript за дистанционно изпълнение на произволен код. Mozilla казва, че уязвимостта вече се използва от нападатели.

Проблемът се крие в реализацията на метода Array.pop. Подробности все още не е разкрито.

Уязвимостта е коригирана във Firefox 67.0.3 и Firefox ESR 60.7.1. Въз основа на това можем уверено да кажем, че всички версии на Firefox 60.x са уязвими (вероятно и по-ранните; ако говорим за Array.prototype.pop(), то той е внедрен още от първата версия на Firefox).

Източник: linux.org.ru