Hier, Mozilla a publié un correctif pour son navigateur Firefox qui corrige le bug du jour zéro. Selon des sources du réseau, la vulnérabilité a été activement exploitée par des attaquants, mais les représentants de Mozilla n'ont pas encore commenté cette information.
On sait que la vulnérabilité affecte le compilateur JIT JavaScript IonMonkey pour SpiderMonkey, l'un des composants principaux de Firefox qui gère les opérations JavaScript. Les experts ont classé le problème comme une vulnérabilité de confusion de types, lorsque les informations écrites en mémoire sont initialement identifiées comme un type de données, mais passent ensuite à un autre type en raison de certaines manipulations. En utilisant cette vulnérabilité, les attaquants pourraient exécuter à distance du code arbitraire sur le système attaqué.
Selon les données disponibles, la vulnérabilité en question a été découverte par des spécialistes de la société chinoise Qihoo 360. Les représentants de la société ont déclaré avoir connaissance d'un certain nombre de cas dans lesquels la vulnérabilité mentionnée a été utilisée dans la pratique par des attaquants. Il convient de mentionner que récemment, un message est apparu sur le compte Twitter Qihoo 360 indiquant que la société avait découvert une vulnérabilité zero-day activement exploitée dans le navigateur Internet Explorer. Cependant, ce message a ensuite été supprimé.
Quant à la vulnérabilité en question, elle a été corrigée dans les versions des navigateurs Firefox 72.0.1 et Firefox ESR 68.4.1. Il est conseillé aux utilisateurs du navigateur Mozilla de mettre à jour leur navigateur avec la dernière version pour éviter d'être victimes de cybercriminels.
Source: 3dnews.ru