Hjem > Cyber ​​Nyheder > CVE-2020-16042: Kritisk sårbarhed, der lurer i Firefox og Chrome
CYBER NEWS

CVE-2020-16042: Kritisk sårbarhed, der lurer i Firefox og Chrome

Vi råder dig til at kontrollere, om du kører den nyeste version af Firefox-browseren. Mozilla rettede netop flere sårbarheder, en kritisk og adskillige høj sværhedsgrad. Opdateringen er inkluderet i Firefox-versionen 84, og det øger også Firefox's ydeevne og tilføjer indbygget support til macOS-hardware, der kører på Apple-processorer.

Den kritiske sårbarhed er kendt som CVE-2020-16042. Det er bemærkelsesværdigt, at den samme kritiske fejl også blev behandlet for nylig i en Google Chrome-sikkerhedsopdatering. Men, Google vurderede det som højt med hensyn til sværhedsgrad. Endvidere, hverken Mozilla eller Google har givet en teknisk beskrivelse af det alvorlige problem, som kun er fremhævet som en hukommelsesfejl.

Ifølge Mozillas sikkerhedsrådgivning, CVE-2020-16042 er et problem i BigInt, en JavaScript-komponent, der kunne have medført, at ikke-initialiseret hukommelse blev eksponeret. Googles beskrivelse er anderledes, da fejlen kaldes "ikke-initialiseret brug", der påvirker Chromes V8 JavaScript-motor. Googles sikkerhedsrådgivning angiver heller ikke arten af ​​sårbarheden. Hvad man ved er, at disse typer fejl stort set overses og tages som “ubetydelige hukommelsesfejl”.

Hvad med resten af ​​sårbarhederne, som Mozilla adresserede i Firefox 84?

Som allerede nævnt, resten af ​​bugs vurderes som høj sværhedsgrad. To af dem er beskrevet som "hukommelsessikkerhedsfejl" – CVE-2020-35114 og CVE-2020-35113. „Nogle af disse bugs viste tegn på hukommelseskorruption, og vi antager, at nogle af disse med nok indsats kunne have været udnyttet til at køre vilkårlig kode,”Siger den rådgivende. Begge programrettelser behandlede problemer i Firefox 84 og ESR 78.6 browser.

Andre sårbarheder forbundet med browserhukommelse er CVE-2020-26971, CVE-2020-26972 og CVE-2020-26973.

Mere information kan findes i Mozillas sikkerhedsrådgivning.

Tidligere i år, Firefox lappede en sårbarhed for afsløring af information. CVE-2020-12.418, opdaget af Cisco Talos, kunne udnyttes ved at narre brugeren til at besøge en specielt udformet webside via browseren. I tilfælde af en vellykket udnytte, trusselaktøren kunne bruge lækket hukommelse til at omgå ASLR (Adresse Space Layout Randomisering). Hvis fejlen kombineres med andre fejl, angriberen kunne få evnen til at udføre vilkårlig kode, forskerne advarer.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig