Mozilla в экстренном порядке выпустила Firefox 67.0.3 для Linux, macOS и Windows, чтобы устранить уязвимость, уже пущенную в ход злоумышленниками. Поскольку Firefox обновляется автоматически, пользователи смогут установить патч, просто перезапустив браузер.

Согласно бюллетеню разработчика, уязвимость нулевого дня CVE-2019-11707 проявляется как путаница типов данных (type confusion). Ошибка может возникнуть в ходе работы с массивами в JavaScript, а точнее, при применении метода pop() к объектам Array. (Метод pop изменяет исходный массив, удаляя из него последний элемент, и возвращает значение этого элемента.)

Злоумышленник может воспользоваться уязвимостью, вынудив пользователя открыть в браузере страницу с вредоносным JavaScript-сценарием. В случае успешной атаки ее автор сможет захватить контроль над системой жертвы.

В бюллетене также сказано, что в Mozilla имеются данные об использовании уязвимости в целевых атаках. Степень ее опасности оценена как критическая.

Новую проблему в Firefox обнаружил участник проекта Google Project Zero Сэмьюэл Грос (Samuel Groß) — тот же исследователь, который два года подряд успешно атаковал браузер Safari в рамках конкурса Pwn2Own — в 2017 году и 2018-м.

Firefox был обновлен до версии 67 совсем недавно, в мае. С ее выпуском Mozilla пропатчила 21 уязвимость. В браузер также добавили опцию блокировки скриптов, нацеленных на майнинг криптовалюты либо отслеживание пользователей по цифровым отпечаткам.

Категории: Главное, Уязвимости