En ny sårbarhed med informationsudgivelse, CVE-2020-12.418, blev netop opdaget i Mozilla Firefox. Opdaget af Cisco Talos, sårbarheden kan udnyttes ved at narre brugeren til at besøge en specielt udformet webside via browseren.
I tilfælde af en vellykket udnytte, trusselaktøren kunne bruge lækket hukommelse til at omgå ASLR (Adresse Space Layout Randomisering). Hvis fejlen kombineres med andre fejl, angriberen kunne få evnen til at udføre vilkårlig kode, forskerne advarer.
"I overensstemmelse med vores koordinerede oplysningspolitik, Cisco Talos samarbejdede med Mozilla for at sikre, at disse problemer løses, og at en opdatering er tilgængelig for berørte kunder,”Siger blogindlægget.
Sårbarhed med information om offentliggørelse af Mozilla Firefox: CVE-2020-12.418
Den officielle definition af sårbarheden er “Mozilla Firefox URL mPath-informationssårbarhed sårbarhed (TALOS-2020-1088 / CVE-2020-12418)".
Ifølge Cisco Talos:
Der findes en sårbarhed med informationsdisplay i URL-mPath-funktionaliteten i Mozilla Firefox Firefox Nightly version 78.0a1 x64 og Firefox Release-version 76.0.2 x64. Et specielt udformet URL-objekt kan forårsage, at der læses uden for grænserne. En angriber kan besøge en webside for at udløse denne sårbarhed.
Problemet er testet på Mozilla Firefox Firefox Nightly version 78.0a1 x64 og Mozilla Firefox Firefox version af version 76.0.2 x64. Begge versioner af browseren påvirkes.
I mere tekniske termer, sårbarheden er relateret til URL-objektet. "En ondsindet webside, der bruger en korrekt URL-objekttilstand, kan lække browserhukommelsen, som følgelig kan hjælpe en angriber med at omgå ASLR og udføre vilkårlig kode,”Forskerne forklare.
Mere information er tilgængelig.
Sidste måned, Mozilla frigivet sikkerhedsopdateringer, der vedrører otte sårbarheder, hvoraf fem vurderes som højrisiko. Tre af de fem højrisikofejl kan tillade udførelse af vilkårlig kode. I forbindelse med en webbrowser betyder det, at indlæsning af en ondsindet side let kan føre til malware-infektioner på systemet. Heldigvis, disse fejl blev opdaget af Mozillas egne udviklere.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: