Ang mga developer ng Mozilla ay naglabas ng mga bagong bersyon ng Firefox 74.0.1 at Firefox ESR 68.6.1 web browser. Pinapayuhan ang mga user na i-update ang kanilang mga browser, dahil inaayos ng mga bersyong ibinigay ang dalawang zero-day na kahinaan na ginagamit ng mga hacker sa pagsasanay.
Pinag-uusapan natin ang mga kahinaan na CVE-2020-6819 at CVE-2020-6820 na nauugnay sa paraan ng pamamahala ng Firefox sa memory space nito. Ang mga ito ay tinatawag na use-after-free vulnerabilities at pinapayagan ang mga hacker na maglagay ng arbitrary code sa memorya ng Firefox para sa pagpapatupad sa konteksto ng browser. Maaaring gamitin ang mga ganitong kahinaan upang malayuang magsagawa ng code sa mga device ng biktima.
Ang mga detalye ng aktwal na pag-atake gamit ang mga kahinaan na binanggit ay hindi ibinunyag, na isang karaniwang kasanayan sa mga vendor ng software at mga mananaliksik sa seguridad ng impormasyon. Ito ay dahil sa ang katunayan na ang lahat ng mga ito ay karaniwang tumutuon sa mabilis na pag-aalis ng mga nakitang problema at paghahatid ng mga pag-aayos sa mga user, at pagkatapos lamang na ang isang mas detalyadong pagsisiyasat ng mga pag-atake ay isinasagawa.
Ayon sa available na data, sisiyasatin ng Mozilla ang mga pag-atake gamit ang mga kahinaang ito kasama ang kumpanya ng seguridad ng impormasyon na JMP Security at ang mananaliksik na si Francisco Alonso, na unang nakatuklas ng problema. Iminumungkahi ng mananaliksik na ang mga kahinaan na naayos sa pinakabagong pag-update ng Firefox ay maaaring makaapekto sa iba pang mga browser, kahit na walang mga kilalang kaso kung saan ang mga error ay pinagsamantalahan ng mga hacker sa iba't ibang mga web browser.
Pinagmulan: 3dnews.ru