Mozilla исправила критическую ошибку нулевого дня в последних выпусках веб-браузера Firefox. Уязвимость позволяет злоумышленникам запускать собственный код, используя браузер с вредоносным JavaScript.
Эта ошибка затрагивает как Firefox, так и его корпоративную версию Extended Support Release (ESR). Согласно рекомендациям Mozilla :
При манипулировании объектами JavaScript может возникать уязвимость путаницы типов из-за проблем в Array.pop.
Программисты используют array объект JavaScript, чтобы содержать коллекцию элементов данных. Pop это команда, которую они могут использовать для удаления последнего элемента массива.
Уязвимость, связанная с путаницей типов, возникает, когда программа не проверяет тип элемента данных, который ему передается. Можно предположить, что он получает число, например, когда он на самом деле получает строку. Если он не проверяет, он может неправильно обработать элемент данных, потенциально дестабилизируя его код.
В этом случае эффект катастрофический, предупреждающий предупреждает:
Это может привести к аварийному завершению. Уже известно о целенаправленных атаках в дикой природе, злоупотребляющих этим недостатком.
Уязвимость была обнаружена Самуэлем Гроссом из Google Project Zero и имеет код CVE-2019-11707. Министерство национальной безопасности также опубликовало предупреждение о недостатке.
Mozilla исправила ошибку в Firefox версии 67.0.3 и Firefox ESR версии 60.7.1. Поэтому важно обновить продукт до последней версии.
Firefox автоматически проверяет наличие обновлений и устанавливает их, но если вы беспокоитесь, вы можете заставить его сделать это вручную . Для этого выберите Справка и О Firefox. Это заставит его проверять наличие обновлений и устанавливать их. После завершения перезапустите браузер.
Пользователи Tor Browser (который основан на Firefox) также должны обновить свои браузеры до версии 8.5.2, которую компания выпустила в среду . Версия Android пока недоступна. Команда Tor сказала:
Поскольку часть нашей команды в настоящее время отправляется на мероприятие, мы не можем получить доступ к нашему токену подписи Android, поэтому версия Android пока недоступна. Мы ожидаем, что сможем опубликовать релиз Android в эти выходные.
Тем временем пользователи Android должны использовать уровни safer или safest, заключила команда Tor. Сделайте это, выбрав Настройки безопасности в меню справа от строки URL.
