Mozilla programistoj publikigis novajn versiojn de Firefox 74.0.1 kaj Firefox ESR 68.6.1 retumiloj. Uzantoj estas konsilitaj ĝisdatigi siajn retumiloj ĉar la versioj provizitaj riparas du nul-tagajn vundeblecojn, kiuj estas uzataj de piratoj en la praktiko.
Ni parolas pri vundeblecoj CVE-2020-6819 kaj CVE-2020-6820 rilataj al kiel Firefox administras sian memorspacon. Ĉi tiuj estas tielnomitaj vundeblecoj de memoruzo post liberigo kaj permesas al hackers meti arbitran kodon en la memoron de Fajrovulpo por plia ekzekuto en la kunteksto de la retumilo. Tiaj vundeblecoj povas esti uzataj por malproksime ekzekuti kodon sur viktimaj aparatoj.
Detaloj pri realaj atakoj uzantaj la menciitajn vundeblecojn ne estas malkaŝitaj, kio estas ofta praktiko inter softvarvendistoj kaj sekurecaj esploristoj. Ĉi tio estas pro la fakto, ke ĉiuj ili kutime fokusiĝas al la rapida forigo de detektitaj problemoj kaj livero de korektoj al uzantoj, kaj nur post tio pli detala esploro de atakoj estas efektivigita.
Laŭ raportoj, Mozilla esploros atakojn uzante ĉi tiujn vundeblecojn kune kun la informsekureca firmao JMP Security kaj esploristo Francisco Alonso (Francisco Alonso), kiuj unue malkovris la problemon. La esploristo sugestas, ke la vundeblecoj eliminitaj en la lasta ĝisdatigo de Firefox povas influi aliajn retumiloj, kvankam ne estas konataj kazoj, kiam la eraroj estis ekspluataj de piratoj en malsamaj retumiloj.
fonto: 3dnews.ru