Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Представляйте решения на онлайн-конференции!

В Firefox исправлена вторая за неделю уязвимость нулевого дня

21/06/19

foxy browser-4В браузере Firefox на этой неделе исправлена уже вторая уязвимость нулевого дня. Проблема, получившая идентификатор CVE-2019-11708, представляет собой обход песочницы и связана с ранее исправленной уязвимостью (CVE-2019-11707) типа type confusion (несоответствие используемых типов данных).

CVE-2019-11708 позволяет злоумышленнику удаленно выполнить произвольный код на системе жертвы, заманив ее на вредоносный сайт. «По причине недостаточной проверки параметров в сообщениях Prompt:Open IPC между дочерним и родительским процессами родительский процесс за пределами песочницы может открывать web-контент, выбранный скомпрометированным дочерним процессом», - сообщается в уведомлении безопасности компании Mozilla.

О первой исправленной на этой неделе уязвимости производителю стало известно еще в апреле нынешнего года от исследователя из Google Project Zero. Тем не менее, о второй проблеме Mozilla узнала лишь на прошлой неделе, когда киберпреступники стали эксплуатировать ее в связке с первой для атак на пользователей криптовалютной платформы Coinbase.

Исследователь безопасности Патрик Уордл также выявил отдельную кампанию с использованием первой уязвимости в атаках на пользователей macOS.

Сложно сказать, обнаружили ли киберпреступники уязвимость самостоятельно, и атаки просто совпали с публикацией отчета о ней, или же они взяли ее на вооружение, каким-то образом заполучив в свои руки отчет.

Обе вышеупомянутые уязвимости исправлены в версиях Firefox 67.0.4 и Firefox ESR 60.7.2. В базирующемся на Firefox браузере Tor первая проблема устранена в версии 8.5.2. Ожидается, что в скором времени выйдет еще одно обновление, исправляющее уже второй баг.

Темы:ОтрасльFireFoxполитика компанииTor
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
3 апреля. Отечественные ИT-платформы и ПО для объектов КИИ
Участвуйте!

Еще темы...

More...