Ayer, Mozilla lanzó un parche para su navegador Firefox que corrige el error de día cero. Según fuentes de la red, los atacantes explotaron activamente la vulnerabilidad, pero los representantes de Mozilla aún no han comentado esta información.
Se sabe que la vulnerabilidad afecta al compilador JIT de JavaScript IonMonkey para SpiderMonkey, uno de los componentes principales de Firefox que maneja las operaciones de JavaScript. Los expertos clasificaron el problema como una vulnerabilidad de confusión de tipos, cuando la información escrita en la memoria se identifica inicialmente como un tipo de datos, pero luego cambia a otro tipo debido a ciertas manipulaciones. Al utilizar esta vulnerabilidad, los atacantes podrían ejecutar de forma remota código arbitrario en el sistema atacado.
Según los datos disponibles, la vulnerabilidad en cuestión fue descubierta por especialistas de la empresa china Qihoo 360. Los representantes de la empresa afirmaron que conocen varios casos en los que los atacantes aprovecharon en la práctica la vulnerabilidad mencionada. Vale la pena mencionar que recientemente apareció un mensaje en la cuenta de Twitter de Qihoo 360 de que la compañía había descubierto una vulnerabilidad de día cero explotada activamente en el navegador Internet Explorer. Sin embargo, este mensaje fue eliminado posteriormente.
En cuanto a la vulnerabilidad en cuestión, se solucionó en las versiones del navegador Firefox 72.0.1 y Firefox ESR 68.4.1. Se recomienda a los usuarios del navegador Mozilla que actualicen su navegador a la última versión para evitar ser víctimas de los ciberdelincuentes.
Fuente: 3dnews.ru