Mozillan kehittäjät ovat julkaisseet uudet versiot Firefox 74.0.1- ja Firefox ESR 68.6.1 -selaimista. Käyttäjiä kehotetaan päivittämään selaimensa, sillä toimitetut versiot korjaavat kaksi nollapäivän haavoittuvuutta, joita hakkerit käyttävät käytännössä.
Puhumme haavoittuvuuksista CVE-2020-6819 ja CVE-2020-6820, jotka liittyvät tapaan, jolla Firefox hallitsee muistitilaansa. Nämä ovat ns. use-after-free-haavoittuvuuksia, joiden avulla hakkerit voivat sijoittaa mielivaltaisen koodin Firefoxin muistiin suoritettavaksi selaimen yhteydessä. Tällaisia haavoittuvuuksia voidaan käyttää koodin etäsuorittamiseen uhrilaitteissa.
Mainittuja haavoittuvuuksia käyttävistä varsinaisista hyökkäyksistä ei kerrota yksityiskohtia, mikä on yleinen käytäntö ohjelmistotoimittajien ja tietoturvatutkijoiden keskuudessa. Tämä johtuu siitä, että ne kaikki keskittyvät yleensä havaittujen ongelmien nopeaan poistamiseen ja korjausten toimittamiseen käyttäjille, ja vasta sen jälkeen tehdään tarkempi hyökkäysten tutkinta.
Käytettävissä olevien tietojen mukaan Mozilla tutkii näitä haavoittuvuuksia hyödyntäviä hyökkäyksiä yhdessä tietoturvayhtiö JMP Securityn ja ongelman ensimmäisenä havainneen tutkija Francisco Alonson kanssa. Tutkija ehdottaa, että viimeisimmässä Firefox-päivityksessä korjatut haavoittuvuudet saattavat vaikuttaa muihin selaimiin, vaikka ei ole tiedossa tapauksia, joissa hakkerit olisivat käyttäneet virheitä hyväkseen eri selaimissa.
Lähde: 3dnews.ru