Har du opdateret din Firefox browser? Mozilla har netop frigivet sikkerhedsopdateringer, der vedrører otte sårbarheder, hvoraf fem vurderes som højrisiko. At være beskyttet mod angrebene, brugere skal køre Firefox 77.
Hvis du ikke har genstartet din Firefox-browser på et stykke tid, du burde.
8 Sårbarheder med Firefox opdaget
Tre af de fem højrisikofejl kan tillade udførelse af vilkårlig kode. I forbindelse med en webbrowser betyder det, at indlæsning af en ondsindet side let kan føre til malware-infektioner på systemet. Heldigvis, disse fejl blev opdaget af Mozillas egne udviklere.
Mozilla-udviklere Tom Tung og Karl Tomlinson opdagede CVE-2020-12410-bugs med høj risiko, beskrevet som hukommelsessikkerhedsfejl rettet i Firefox 77 og Firefox ESR 68.9. "Nogle af disse fejl viste tegn på hukommelseskorruption, og vi antager, at nogle af disse med tilstrækkelig indsats kunne have været udnyttet til at køre vilkårlig kode,”Mozilla siger.
Dernæst på listen over de farligste fejl, der er adresseret i Firefox 77 er CVE-2020-12406, eller en JavaScript-forveksling med NativeTypes. Rapporteret af Iain Irland, en Mozilla-udvikler, fejlen kan føre til vilkårlig eksekvering af kode. Fejlen er forårsaget af en manglende typekontrol under fjernelse af objekter, der ikke er i boks, resulterer i et styrt.
Den tredje sårbarhed, der blev opdaget internt, er CVE-2020-12411. Fejl i hukommelsessikkerheden blev opdaget af Mozilla-udviklere af Gijs (han / ham), Randell Jesup, der rapporterede fejl i hukommelsessikkerheden, der findes i Firefox 76. Nogle af disse bugs viste bevis for hukommelseskorruption, og Mozilla-forskere antager, at "med nok indsats kunne nogle af disse have været udnyttet til at køre vilkårlig kode".
CVE-2020-12399 er et andet eksempel på de fem sårbarheder med høj alvorlighed. Det beskrives som et timingangreb på DSA-underskrifter i NSS-bibliotek. Fejlen blev rapporteret af Cesar Pereida Garcia og Network and Information Security Group (NISEC) på Tammerfors Universitet. Virkningen af sårbarhederne betragtes som høj. I henhold til den officielle Mozilla-rådgivning, NSS har vist tidsforskelle ved udførelse af DSA-underskrifter, som kunne udnyttes og til sidst kunne lække private nøgler.
Et andet problem med høj alvorlighed er CVE-2020-12405, eller en brug-efter-fri i sårbarheden SharedWorkerService, rapporteret af Marcin ‘Icewall’ Ben af Cisco Talos. Når du gennemser en ondsindet side, en racetilstand i vores SharedWorkerService kunne forekomme og føre til et potentielt udnytteligt crash, den rådgivende beskrevet.
Den mest alvorlige fejl af de resterende tre sårbarheder er CVE-2020-12407, bedømt som moderat. Fejlen er relateret til GPU-hukommelseslækage:
Mozilla-udvikler Nicolas Silva fandt det ved brug af WebRender, Firefox vil under visse betingelser lække vilkårlig GPU-hukommelse til den synlige skærm. Det lækkede hukommelsesindhold var synligt for brugeren, men ikke observerbar fra webindhold.
Endelig, CVE-2020-12408 og CVE-2020-12409 betragtes begge som lavrisiko og er relateret til URL-spoofing. De blev rapporteret af den uafhængige forsker Rayyan Bijoora.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: