Häkkerid kuritarvitavad kahte uut Firefoxi haavatavust

On leitud, et häkkerid kasutavad kaaperdamiseks Firefoxi brauseris paari seni tundmatut haavatavust.

Üksikasjad vigade kohta jäävad õhukeseks, kuid võivad käivitada võistlussituatsiooni, mille tulemuseks on brauseri jaoks ohtlik seisund.

Kui neid vigu kasutatakse, võivad need vead põhjustada süsteemi krahhi või paluda Firefoxil arvutikoodi käivitada, sillutades häkkerile teed teie arvutiga täiendava pahavara allalaadimiseks.

"Oleme teadlikud looduses suunatud rünnakutest, mis seda viga kuritarvitavad," ütles Firefoxi arendaja Mozilla reedeses hoiatuses, kirjeldades mõlemat haavatavust.

Täpsemalt käsitleb probleem seda, kuidas brauser käitleb RAM-i mäluplokke.

Süsteemiressursside häkkimise vältimiseks tagastab programm tavaliselt pärast toimingu lõpetamist mäluplokid.

Samuti ei tohiks sama programm kunagi uuesti juurde pääseda vabastatud mäluplokile, mis on praegu teise programmi hõivatud, märgib turvafirma Sophos.

Kuid ilmselt pääseb Firefox ekslikult mäluplokkidele juurde, kui tarkvara andmeid "nsDocShelli hävitaja" kaudu töötleb ja "loetava voo" käitlemisel töötab.

Efekt loob haavatavuse pärast kasutamist tasuta, mis võib põhjustada programmi ebausaldusväärse koodi käivitamise mäluplokist.

Mõnel juhul võivad tasuta kasutamise vead lubada ründajal muuta teie programmi juhtimisvoogu, sealhulgas suunata protsessori ebausaldusväärse koodi käitamiseks, mille ründaja lihtsalt väljastpoolt mällu pistis, jättes seeläbi kõrvale mõne brauseri tavapärase turvakontroll või „kas olete kindel” dialoogid, ”lisas Sophos.

Mozilla sõnul töötavad puudused ainult teatud tingimustel.

Sellest hoolimata on mõlemad haavatavused hinnatud kriitilisteks.

Õnneks on ettevõte välja andnud plaastri, mis peaks kasutajatele automaatselt levima Firefoxi versioonidena 74.0.1 ja Firefox ESR 68.6.1.

Värskendamise kontrollimiseks minge Windowsi brauseri abinupule ja klõpsake käsul „Teave Firefoxi kohta”, et näha, millist versiooni te kasutate.

MacOS-is minge eelistuste paneelile ja kerige versiooni numbri kuvamiseks alla.

Turvalisuse uurijad, kes haavatavused avastasid, on avaldada rohkem üksikasju, mis võivad paljastada, kuidas häkkerid rünnakuid tegelikult toimetavad.

Teadlased viitavad ka teistele brauseritele.

On leitud, et häkkerid kasutavad kaaperdamiseks Firefoxi brauseris paari seni tundmatut haavatavust.

Üksikasjad vigade kohta jäävad õhukeseks, kuid võivad käivitada võistlussituatsiooni, mille tulemuseks on brauseri jaoks ohtlik seisund.

Kui neid vigu kasutatakse, võivad need vead põhjustada süsteemi krahhi või paluda Firefoxil arvutikoodi käivitada, sillutades häkkerile teed teie arvutiga täiendava pahavara allalaadimiseks.

"Oleme teadlikud looduses suunatud rünnakutest, mis seda viga kuritarvitavad," ütles Firefoxi arendaja Mozilla reedeses hoiatuses, kirjeldades mõlemat haavatavust.

Täpsemalt käsitleb probleem seda, kuidas brauser käitleb RAM-i mäluplokke.

Süsteemiressursside häkkimise vältimiseks tagastab programm tavaliselt pärast toimingu lõpetamist mäluplokid.

Samuti ei tohiks sama programm kunagi uuesti juurde pääseda vabastatud mäluplokile, mis on praegu teise programmi hõivatud, märgib turvafirma Sophos.

Kuid ilmselt pääseb Firefox ekslikult mäluplokkidele juurde, kui tarkvara andmeid "nsDocShelli hävitaja" kaudu töötleb ja "loetava voo" käitlemisel töötab.

Efekt loob haavatavuse pärast kasutamist tasuta, mis võib põhjustada programmi ebausaldusväärse koodi käivitamise mäluplokist.

Mõnel juhul võivad tasuta kasutamise vead lubada ründajal muuta teie programmi juhtimisvoogu, sealhulgas suunata protsessori ebausaldusväärse koodi käitamiseks, mille ründaja lihtsalt väljastpoolt mällu pistis, jättes seeläbi kõrvale mõne brauseri tavapärase turvakontroll või „kas olete kindel” dialoogid, ”lisas Sophos.

Mozilla sõnul töötavad puudused ainult teatud tingimustel.

Sellest hoolimata on mõlemad haavatavused hinnatud kriitilisteks.

Õnneks on ettevõte välja andnud plaastri, mis peaks kasutajatele automaatselt levima Firefoxi versioonidena 74.0.1 ja Firefox ESR 68.6.1.

Värskendamise kontrollimiseks minge Windowsi brauseri abinupule ja klõpsake käsul „Teave Firefoxi kohta”, et näha, millist versiooni te kasutate.

MacOS-is minge eelistuste paneelile ja kerige versiooni numbri kuvamiseks alla.

Turvalisuse uurijad, kes haavatavused avastasid, on avaldada rohkem üksikasju, mis võivad paljastada, kuidas häkkerid rünnakuid tegelikult toimetavad.

Teadlased viitavad ka teistele brauseritele.