Mozilla-ontwikkelaars hebben nieuwe versies uitgebracht van de webbrowsers Firefox 74.0.1 en Firefox ESR 68.6.1. Gebruikers wordt geadviseerd hun browser te updaten, omdat de geleverde versies twee zero-day-kwetsbaarheden verhelpen die in de praktijk door hackers worden gebruikt.
We hebben het over de kwetsbaarheden CVE-2020-6819 en CVE-2020-6820 die verband houden met de manier waarop Firefox zijn geheugenruimte beheert. Dit zijn zogenaamde use-after-free-kwetsbaarheden en stellen hackers in staat willekeurige code in het geheugen van Firefox te plaatsen voor uitvoering in de context van de browser. Dergelijke kwetsbaarheden kunnen worden gebruikt om op afstand code uit te voeren op de apparaten van slachtoffers.
Details van daadwerkelijke aanvallen waarbij gebruik wordt gemaakt van de genoemde kwetsbaarheden worden niet bekendgemaakt, wat een gangbare praktijk is onder softwareleveranciers en informatiebeveiligingsonderzoekers. Dit komt door het feit dat ze zich meestal allemaal richten op het snel elimineren van gedetecteerde problemen en het leveren van oplossingen aan gebruikers, en pas daarna wordt een gedetailleerder onderzoek naar aanvallen uitgevoerd.
Volgens de beschikbare gegevens zal Mozilla aanvallen waarbij gebruik wordt gemaakt van deze kwetsbaarheden onderzoeken samen met het informatiebeveiligingsbedrijf JMP Security en onderzoeker Francisco Alonso, die het probleem als eerste ontdekte. De onderzoeker suggereert dat de kwetsbaarheden die in de nieuwste Firefox-update zijn opgelost ook andere browsers kunnen beïnvloeden, hoewel er geen gevallen bekend zijn waarin de fouten door hackers in verschillende webbrowsers werden uitgebuit.
Bron: 3dnews.ru