Mozilla-ի մշակողները թողարկել են Firefox 74.0.1 և Firefox ESR 68.6.1 վեբ բրաուզերների նոր տարբերակները: Օգտատերերին խորհուրդ է տրվում թարմացնել իրենց բրաուզերները, քանի որ ներկայացված տարբերակները շտկում են երկու զրոյական խոցելիություն, որոնք գործնականում օգտագործում են հաքերները։
Խոսքը CVE-2020-6819 և CVE-2020-6820 խոցելիության մասին է, որոնք կապված են Firefox-ի հիշողության տարածքի կառավարման ձևի հետ: Սրանք այսպես կոչված «օգտագործումից հետո ազատ» խոցելիություններ են և թույլ են տալիս հաքերներին կամայական կոդ տեղադրել Firefox հիշողության մեջ՝ բրաուզերի համատեքստում կատարման համար: Նման խոցելիությունները կարող են օգտագործվել զոհված սարքերի վրա կոդի հեռակա գործարկման համար:
Նշված խոցելիության օգտագործմամբ իրական հարձակումների մանրամասները չեն բացահայտվում, ինչը սովորական պրակտիկա է ծրագրային ապահովման վաճառողների և տեղեկատվական անվտանգության հետազոտողների շրջանում: Դա պայմանավորված է նրանով, որ նրանք բոլորը սովորաբար կենտրոնանում են հայտնաբերված խնդիրները արագ վերացնելու և օգտատերերին ուղղումներ հասցնելու վրա, և միայն դրանից հետո է իրականացվում հարձակումների ավելի մանրամասն ուսումնասիրություն:
Համաձայն առկա տվյալների՝ Mozilla-ն կհետաքննի հարձակումները՝ օգտագործելով այս խոցելիությունները, տեղեկատվական անվտանգության JMP Security ընկերության և հետազոտող Ֆրանցիսկո Ալոնսոյի հետ միասին, ով առաջինը հայտնաբերեց խնդիրը: Հետազոտողը ենթադրում է, որ Firefox-ի վերջին թարմացման մեջ ֆիքսված խոցելիությունները կարող են ազդել այլ բրաուզերների վրա, թեև հայտնի դեպքեր չկան, երբ սխալները շահագործվել են հաքերների կողմից տարբեր վեբ բրաուզերներում:
Source: 3dnews.ru