Ontem, a Mozilla lançou um patch para seu navegador Firefox que corrige o bug de dia zero. Segundo fontes da rede, a vulnerabilidade foi explorada ativamente por invasores, mas os representantes da Mozilla ainda não comentaram esta informação.
Sabe-se que a vulnerabilidade afeta o compilador IonMonkey JavaScript JIT para SpiderMonkey, um dos principais componentes do Firefox que lida com operações JavaScript. Os especialistas classificaram o problema como uma vulnerabilidade de confusão de tipos, quando as informações gravadas na memória são inicialmente identificadas como um tipo de dados, mas posteriormente mudam para outro tipo devido a certas manipulações. Usando esta vulnerabilidade, os invasores podem executar remotamente código arbitrário no sistema atacado.
De acordo com os dados disponíveis, a vulnerabilidade em questão foi descoberta por especialistas da empresa chinesa Qihoo 360. Representantes da empresa afirmaram ter conhecimento de vários casos em que a referida vulnerabilidade foi utilizada na prática por atacantes. Vale ressaltar que recentemente apareceu uma mensagem na conta do Twitter do Qihoo 360 informando que a empresa havia descoberto uma vulnerabilidade de dia zero explorada ativamente no navegador Internet Explorer. No entanto, esta mensagem foi excluída posteriormente.
Quanto à vulnerabilidade em questão, ela foi corrigida nas versões dos navegadores Firefox 72.0.1 e Firefox ESR 68.4.1. Os usuários do navegador Mozilla são aconselhados a atualizar seu navegador para a versão mais recente para evitar serem vítimas de cibercriminosos.
Fonte: 3dnews.ru