Удалённое выполнение кода в Firefox
В браузере Firefox обнаружена уязвимость CVE-2019–11707, по некоторым данным позволяющая атакующему с помощью JavaScript удалённо выполнить произвольный код. Mozilla заявляет, что уязвимость уже эксплуатируется злоумышленниками.
Проблема кроется в реализации метода Array.pop. Подробности пока не раскрыты.
Уязвимость исправлена в Firefox 67.0.3 и Firefox ESR 60.7.1. Исходя из этого, можно с уверенностью утверждать, что уязвимы все версии Firefox 60.x (вполне вероятно, что и более ранние тоже; если речь идёт об Array.prototype.pop (), то он реализован, начиная с самой первой версии Firefox).
>>> Подробности
