Οι χρήστες του Firefox θα πρέπει να ενημερώσουν άμεσα τα προγράμματα περιήγησής τους στην έκδοση 74.0.1 για να επιδιορθώσουν δύο σφάλματα που εκμεταλλεύονται σήμερα από τους hackers.
H ενημερωμένη έκδοση υπάρχει εδώ, στην ανακοίνωση του νέου Firefox 74.0.1, που κυκλοφόρησε επίσημα αργά χθες το βράδυ. Η νέα έκδοση του Firefox συμπεριλαμβάνει ενημερώσεις για τις ευπάθειες CVE-2020-6819 και CVE-2020-6820,. Και οι δύο υπάρχουν στον τρόπο με τον οποίο ο Firefox διαχειρίζεται το χώρο μνήμης του.
Τα σφάλματα είναι τα λεγόμενα τρωτά σημεία user-after-free, και επιτρέπουν στους hackers να τοποθετήσουν κώδικα μέσα στη μνήμη του Firefox και να τον τρέξουν στο περιβάλλον του προγράμματος περιήγησης. Τέτοια σφάλματα μπορούν να χρησιμοποιηθούν για την εκτέλεση κώδικα στις συσκευές του θύματος, αν και οι επιπτώσεις αλλά και η εμβέλεια ενός τέτοιου exploit συνήθως διαφέρει από σύστημα σε σύστημα.
Λεπτομέρειες τις επιθέσεις που έχουν πραγματοποιηθεί και εκμεταλλεύονται τα δύο αυτά σφάλματα εξακολουθούν να παραμένουν άγνωστες – μια κοινή πρακτική μεταξύ των προγραμματιστών λογισμικού και των ερευνητών ασφάλειας, καθώς επικεντρώνονται πρώτα στην ανάπτυξη των επιδιορθώσεων και στη συνέχεια στη διερεύνηση των επιθέσεων.
Η Mozilla έδωσε credits στην εταιρεία JMP Security και στον ερευνητή ασφαλείας Francisco Alonso για την ανακάλυψη των δύο 0day.
Σε ένα tweet που δημοσίευσε σήμερα, ο Alonso ανέφερε ότι τα σφάλματα που ανακαλύφθηκαν ενδέχεται να έχουν επιπτώσεις και σε άλλα προγράμματα περιήγησης, αν και δεν είναι γνωστό εάν τα έχουν εκμεταλλευτεί ακόμα.
Αυτή η ενημέρωση επιδιορθώνει τα δεύτερο 0day στον Firefox φέτος. Είχε προηγηθεί άλλο ένα τον Ιανουάριο, με την κυκλοφορία του Firefox 72.0.1. Αυτό το σφάλμα χρησιμοποιήθηκε για επιθέσεις σε χρήστες στην Κίνα και την Ιαπωνία, στο πλαίσιο μιας εκστρατείας που χρηματοδοτούνταν από κάποια κυβέρνηση και είχε σαν στόχο την κατασκοπία στον κυβερνοχώρο, σύμφωνα με δημοσιεύματα των Qihoo 360 και Japan CERT.