Mae datblygwyr Mozilla wedi rhyddhau fersiynau newydd o borwyr gwe Firefox 74.0.1 a Firefox ESR 68.6.1. Cynghorir defnyddwyr i ddiweddaru eu porwyr, gan fod y fersiynau a ddarperir yn trwsio dau wendid dim-diwrnod a ddefnyddir gan hacwyr yn ymarferol.
Rydym yn siarad am y gwendidau CVE-2020-6819 a CVE-2020-6820 sy'n gysylltiedig â'r ffordd y mae Firefox yn rheoli ei ofod cof. Gwendidau di-ddefnydd fel y'u gelwir yw'r rhain ac maent yn caniatáu i hacwyr osod cod mympwyol yng nghof Firefox i'w weithredu yng nghyd-destun y porwr. Gellir defnyddio gwendidau o'r fath i weithredu cod o bell ar ddyfeisiau dioddefwr.
Nid yw manylion ymosodiadau gwirioneddol gan ddefnyddio'r gwendidau a grybwyllwyd yn cael eu datgelu, sy'n arfer cyffredin ymhlith gwerthwyr meddalwedd ac ymchwilwyr diogelwch gwybodaeth. Mae hyn oherwydd y ffaith eu bod i gyd fel arfer yn canolbwyntio ar ddileu problemau a ganfuwyd yn gyflym a darparu atebion i ddefnyddwyr, a dim ond ar ôl hynny y cynhelir ymchwiliad manylach i ymosodiadau.
Yn ôl y data sydd ar gael, bydd Mozilla yn ymchwilio i ymosodiadau gan ddefnyddio'r gwendidau hyn ynghyd â'r cwmni diogelwch gwybodaeth JMP Security a'r ymchwilydd Francisco Alonso, a ddarganfuodd y broblem gyntaf. Mae'r ymchwilydd yn awgrymu y gallai'r gwendidau a bennwyd yn y diweddariad Firefox diweddaraf effeithio ar borwyr eraill, er nad oes unrhyw achosion hysbys lle mae hacwyr mewn gwahanol borwyr gwe wedi manteisio ar y gwallau.
Ffynhonnell: 3dnewyddion.ru