В Firefox исправлена уязвимость нулевого дня

В Firefox исправлена уязвимость нулевого дня

Уязвимость эксплуатируется в реальных атаках, однако подробностей о них Mozilla не раскрывает.

image

В воскресенье, 8 января, компания Mozilla выпустила исправление для уязвимости нулевого дня в своем браузере Firefox. Известно, что уязвимость активно эксплуатируется в реальных атаках, однако подробностей о них Mozilla не раскрывает.

Проблема затрагивает JavaScript JIT-компилятор IonMonkey для SpiderMonkey, главного компонента ядра Firefox, проводящего операции с JavaScript (проще говоря, для JavaScript-движка браузера), и была исправлена в версиях Firefox 72.0.1 и Firefox ESR 68.4.1.

Проблема представляет собой уязвимость несоответствия используемых типов данных (type confusion), когда записываемые в памяти данные изначально распределяются как один тип данных, однако затем в ходе манипуляций переключаются на другой тип, что приводит к неожиданным последствиям после обработки данных, включая выполнение кода на уязвимой системе.

Уязвимость ( CVE-2019-17026 ) была обнаружена специалистами китайской компании Qihoo 360. По их словам, активно эксплуатируемая в атаках уязвимость нулевого дня также была обнаружена в Internet Explorer. Исследователи сообщили об этом в Twitter, но затем твит был удален. Qihoo 360 никак не комментирует ситуацию, а Microsoft не выпускает никаких внеплановых патчей.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle