Mozilla forritarar hafa gefið út nýjar útgáfur af Firefox 74.0.1 og Firefox ESR 68.6.1 vöfrum. Notendum er bent á að uppfæra vafrana sína, þar sem útgáfurnar sem fylgja með laga tvo núlldaga veikleika sem tölvuþrjótar nota í reynd.
Við erum að tala um veikleikana CVE-2020-6819 og CVE-2020-6820 sem tengjast því hvernig Firefox stjórnar minnisrýminu sínu. Þetta eru svokölluð use-after-free varnarleysi og gera tölvuþrjótum kleift að setja handahófskenndan kóða í Firefox-minni til framkvæmdar í samhengi við vafra. Slíka veikleika er hægt að nota til að keyra kóða fjarstýrt á tækjum fórnarlambsins.
Upplýsingar um raunverulegar árásir þar sem veikleikarnir sem nefndir eru eru ekki gefnir upp, sem er algengt meðal hugbúnaðarframleiðenda og upplýsingaöryggisfræðinga. Þetta stafar af þeirri staðreynd að þeir einbeita sér yfirleitt að því að útrýma fljótt uppgötvuðum vandamálum og skila lagfæringum til notenda, og aðeins eftir það fer ítarlegri rannsókn á árásum fram.
Samkvæmt fyrirliggjandi gögnum mun Mozilla rannsaka árásir sem nota þessa veikleika ásamt upplýsingaöryggisfyrirtækinu JMP Security og rannsóknarmanninum Francisco Alonso, sem fyrst uppgötvaði vandamálið. Rannsakandi bendir á að veikleikarnir sem lagaðir eru í nýjustu Firefox uppfærslunni gætu haft áhrif á aðra vafra, þó að engin þekkt tilvik séu þar sem villurnar voru nýttar af tölvuþrjótum í mismunandi vöfrum.
Heimild: 3dnews.ru