05.04.2020 | В Firefox исправлены две уязвимости нулевого дня |
Компания Mozilla выпустила новые версии своего браузера Firefox 74.0.1 и Firefox ESR 68.6.1, исправляющие две уязвимости нулевого дня. CVE-2020-6819 и CVE-2020-6820 представляют собой уязвимости использования памяти после высвобождения и связаны с тем, как браузер управляет своим пространством памяти. CVE-2020-6819 существует из-за неопределенности параллелизма (так называемого «состояния гонки»), возникающего при запуске деструктора nsDocShell. CVE-2020-6820 также существует из-за неопределенности параллелизма, но возникающего при обработке ReadableStream. Уязвимости позволяют атакующему поместить код в память Firefox и выполнить его в контексте браузера. Злоумышленник может заставить жертву открыть особым образом сконфигурированный сайт через уязвимый браузер, выполнить на ее системе вредоносный код и получить контроль над устройством. Уязвимости были обнаружены исследователем безопасности компании JMP Security Франциско Алонсо (Francisco Alonso). По его словам, проблема может затрагивать не только Firefox, но и другие браузеры. Как сообщают специалисты Mozilla, обе уязвимости уже эксплуатируются киберпреступниками в реальных атаках. В настоящее время подробности об атаках не раскрываются. Вероятно, они будут опубликованы позже, когда пользователи уязвимых браузеров установят патчи. |
Проверить безопасность сайта