Các nhà phát triển Mozilla đã phát hành phiên bản mới của trình duyệt web Firefox 74.0.1 và Firefox ESR 68.6.1. Người dùng nên cập nhật trình duyệt của mình vì các phiên bản được cung cấp sẽ khắc phục hai lỗ hổng zero-day được tin tặc sử dụng trong thực tế.
Chúng ta đang nói về các lỗ hổng CVE-2020-6819 và CVE-2020-6820 liên quan đến cách Firefox quản lý không gian bộ nhớ của nó. Đây được gọi là lỗ hổng use-after-free và cho phép tin tặc đặt mã tùy ý vào bộ nhớ Firefox để thực thi trong ngữ cảnh của trình duyệt. Những lỗ hổng như vậy có thể được sử dụng để thực thi mã từ xa trên thiết bị nạn nhân.
Thông tin chi tiết về các cuộc tấn công thực tế sử dụng các lỗ hổng được đề cập không được tiết lộ, đây là thông lệ của các nhà cung cấp phần mềm và nhà nghiên cứu bảo mật thông tin. Điều này là do thực tế là tất cả họ thường tập trung vào việc nhanh chóng loại bỏ các sự cố đã phát hiện và đưa ra các bản sửa lỗi cho người dùng và chỉ sau đó, cuộc điều tra chi tiết hơn về các cuộc tấn công mới được thực hiện.
Theo dữ liệu có sẵn, Mozilla sẽ điều tra các cuộc tấn công sử dụng các lỗ hổng này cùng với công ty bảo mật thông tin JMP Security và nhà nghiên cứu Francisco Alonso, người đầu tiên phát hiện ra vấn đề. Nhà nghiên cứu gợi ý rằng các lỗ hổng được sửa trong bản cập nhật Firefox mới nhất có thể ảnh hưởng đến các trình duyệt khác, mặc dù chưa có trường hợp nào tin tặc khai thác lỗi trên các trình duyệt web khác nhau.
Nguồn: 3dnews.ru