В Firefox исправлены две уязвимости нулевого дня

В Firefox исправлены две уязвимости нулевого дня

Уязвимости позволяют удаленно выполнить код и получить контроль над системой.

Компания Mozilla выпустила новые версии своего браузера Firefox 74.0.1 и Firefox ESR 68.6.1, исправляющие две уязвимости нулевого дня.

CVE-2020-6819 и CVE-2020-6820 представляют собой уязвимости использования памяти после высвобождения и связаны с тем, как браузер управляет своим пространством памяти. CVE-2020-6819 существует из-за неопределенности параллелизма (так называемого «состояния гонки»), возникающего при запуске деструктора nsDocShell. CVE-2020-6820 также существует из-за неопределенности параллелизма, но возникающего при обработке ReadableStream.

Уязвимости позволяют атакующему поместить код в память Firefox и выполнить его в контексте браузера. Злоумышленник может заставить жертву открыть особым образом сконфигурированный сайт через уязвимый браузер, выполнить на ее системе вредоносный код и получить контроль над устройством.

Уязвимости были обнаружены исследователем безопасности компании JMP Security Франциско Алонсо (Francisco Alonso). По его словам, проблема может затрагивать не только Firefox, но и другие браузеры.

Как сообщают специалисты Mozilla, обе уязвимости уже эксплуатируются киберпреступниками в реальных атаках. В настоящее время подробности об атаках не раскрываются. Вероятно, они будут опубликованы позже, когда пользователи уязвимых браузеров установят патчи.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!