Í gær gaf Mozilla út plástur fyrir Firefox vafra sinn sem lagar núlldaga villuna. Samkvæmt netheimildum var varnarleysið virkt nýtt af árásarmönnum, en fulltrúar Mozilla hafa ekki enn tjáð sig um þessar upplýsingar.
Vitað er að varnarleysið hefur áhrif á IonMonkey JavaScript JIT þýðanda fyrir SpiderMonkey, einn af kjarna Firefox kjarnahlutanum sem sér um JavaScript aðgerðir. Sérfræðingar flokkuðu vandamálið sem tegund ruglings varnarleysi, þegar upplýsingar sem skrifaðar eru í minni eru upphaflega auðkenndar sem ein gagnategund, en skipta síðar yfir í aðra tegund vegna ákveðinna meðhöndlunar. Með því að nota þennan varnarleysi gætu árásarmenn fjarkveikt handahófskenndan kóða á kerfinu sem ráðist var á.
Samkvæmt fyrirliggjandi gögnum var umræddur varnarleysi uppgötvaður af sérfræðingum frá kínverska fyrirtækinu Qihoo 360. Fulltrúar fyrirtækisins sögðust vita um nokkur tilvik þar sem nefndur varnarleysi var notaður í reynd af árásarmönnum. Þess má geta að nýlega birtust skilaboð á Qihoo 360 Twitter reikningnum um að fyrirtækið hefði uppgötvað virkan nýttan núlldaga varnarleysi í Internet Explorer vafranum. Þessum skilaboðum var hins vegar síðar eytt.
Varðandi veikleikann sem um ræðir var hann lagaður í vafraútgáfum Firefox 72.0.1 og Firefox ESR 68.4.1. Notendum Mozilla vafra er bent á að uppfæra vafrann sinn í nýjustu útgáfuna til að forðast að verða fórnarlömb netglæpamanna.
Heimild: 3dnews.ru