Оффлайн
- Регистрация
- 23.09.18
- Сообщения
- 12.347
- Реакции
- 176
- Репутация
- 0
Компания Mozilla выпустила новые версии своего браузера Firefox 74.0.1 и Firefox ESR 68.6.1, исправляющие две уязвимости нулевого дня.
Уязвимости позволяют атакующему поместить код в память Firefox и выполнить его в контексте браузера. Злоумышленник может заставить жертву открыть особым образом сконфигурированный сайт через уязвимый браузер, выполнить на ее системе вредоносный код и получить контроль над устройством.
Уязвимости были
Как
Источник:
You must be registered for see links
представляют собой уязвимости использования памяти после высвобождения и связаны с тем, как браузер управляет своим пространством памяти. CVE-2020-6819 существует из-за неопределенности параллелизма (так называемого «состояния гонки»), возникающего при запуске деструктора nsDocShell. CVE-2020-6820 также существует из-за неопределенности параллелизма, но возникающего при обработке ReadableStream.Уязвимости позволяют атакующему поместить код в память Firefox и выполнить его в контексте браузера. Злоумышленник может заставить жертву открыть особым образом сконфигурированный сайт через уязвимый браузер, выполнить на ее системе вредоносный код и получить контроль над устройством.
Уязвимости были
You must be registered for see links
исследователем безопасности компании JMP Security Франциско Алонсо (Francisco Alonso). По его словам, проблема может затрагивать не только Firefox, но и другие браузеры.Как
You must be registered for see links
специалисты Mozilla, обе уязвимости уже эксплуатируются киберпреступниками в реальных атаках. В настоящее время подробности об атаках не раскрываются. Вероятно, они будут опубликованы позже, когда пользователи уязвимых браузеров установят патчи.Источник:
You must be registered for see links