Kemarin, Mozilla merilis patch untuk browser Firefox-nya yang memperbaiki bug zero-day. Menurut sumber jaringan, kerentanan tersebut dieksploitasi secara aktif oleh penyerang, namun perwakilan Mozilla belum mengomentari informasi ini.
Kerentanan ini diketahui memengaruhi kompiler JIT JavaScript IonMonkey untuk SpiderMonkey, salah satu komponen inti Firefox yang menangani operasi JavaScript. Para ahli mengklasifikasikan masalah ini sebagai kerentanan kebingungan tipe, ketika informasi yang ditulis ke memori awalnya diidentifikasi sebagai satu tipe data, tetapi kemudian beralih ke tipe lain karena manipulasi tertentu. Dengan menggunakan kerentanan ini, penyerang dapat mengeksekusi kode arbitrer pada sistem yang diserang dari jarak jauh.
Menurut data yang tersedia, kerentanan tersebut ditemukan oleh spesialis dari perusahaan China Qihoo 360. Perwakilan perusahaan menyatakan bahwa mereka mengetahui sejumlah kasus di mana kerentanan tersebut digunakan dalam praktik oleh penyerang. Perlu disebutkan bahwa baru-baru ini sebuah pesan muncul di akun Twitter Qihoo 360 bahwa perusahaan telah menemukan kerentanan zero-day yang dieksploitasi secara aktif di browser Internet Explorer. Namun, pesan ini kemudian dihapus.
Adapun kerentanan yang dimaksud telah diperbaiki di versi browser Firefox 72.0.1 dan Firefox ESR 68.4.1. Pengguna browser Mozilla disarankan untuk mengupdate browsernya ke versi terbaru agar tidak menjadi korban penjahat dunia maya.
Sumber: 3dnews.ru