Pembangun Mozilla telah mengeluarkan versi baharu pelayar web Firefox 74.0.1 dan Firefox ESR 68.6.1. Pengguna dinasihatkan untuk mengemas kini penyemak imbas mereka kerana versi yang disediakan membetulkan dua kelemahan sifar hari yang digunakan oleh penggodam dalam amalan.
Kita bercakap tentang kelemahan CVE-2020-6819 dan CVE-2020-6820 yang berkaitan dengan cara Firefox mengurus ruang ingatannya. Ini adalah apa yang dipanggil kelemahan penggunaan memori selepas pelepasan dan membenarkan penggodam meletakkan kod sewenang-wenangnya dalam memori Firefox untuk pelaksanaan selanjutnya dalam konteks penyemak imbas. Kerentanan sedemikian boleh digunakan untuk melaksanakan kod dari jauh pada peranti mangsa.
Butiran serangan sebenar menggunakan kelemahan yang disebutkan tidak didedahkan, yang merupakan amalan biasa di kalangan vendor perisian dan penyelidik keselamatan. Ini disebabkan oleh fakta bahawa kesemuanya biasanya menumpukan pada penghapusan segera masalah yang dikesan dan penghantaran pembetulan kepada pengguna, dan hanya selepas itu penyiasatan serangan yang lebih terperinci dijalankan.
Menurut laporan, Mozilla akan menyiasat serangan menggunakan kelemahan ini bersama-sama dengan syarikat keselamatan maklumat JMP Security dan penyelidik Francisco Alonso (Francisco Alonso), yang pertama kali menemui masalah itu. Penyelidik mencadangkan bahawa kelemahan yang dihapuskan dalam kemas kini Firefox terkini mungkin menjejaskan pelayar lain, walaupun tidak ada kes yang diketahui apabila pepijat dieksploitasi oleh penggodam dalam pelayar web yang berbeza.
Sumber: 3dnews.ru