Обновление Firefox 72.0.1 и 68.4.1 с устранением критической 0-day уязвимости
Опубликованы экстренные корректирующие выпуски Firefox 72.0.1 и 68.4.1, в которых устранена критическая уязвимость (CVE-2019–17026), позволяющая организовать выполнение кода при открытии определённым образом оформленных страниц. Опасность усугубляется тем, что ещё до внесения исправления зафиксированы факты совершения атак с использованием данной уязвимости и в руках злоумышленников находится рабочий эксплоит. Всем пользователям Firefox рекомендуется срочно обновить браузер, а пользователям Tor Browser необходимо дождаться выхода обновления 9.0.4, которое будет опубликовано в течение нескольких часов.
Следы совершении атак с использование 0-day уязвимости были обнаружены китайским производителям антивирусного ПО Qihoo 360. Проблема вызвана некорректным определением типа элементов массива при выполнении операций StoreElementHole и FallibleStoreElement в объектном коде, скомпилированном JIT-движком IonMonkey. Подробности пока не раскрываются, но для анализа доступен код патча.
Источник: http://www.opennet.ru/opennews/art.shtml? num=52155
© OpenNet