En flok af kritiske sikkerhedshuller påvirke Mozilla Firefox browser. En anden høj sværhedsgrad fejl blev også opdaget i Google Chrome. Det fremgår, at alle fejl kan føre til kørsel af vilkårlig kode.
Ifølge en rådgivende af MS-ISAC (Multi-State Information Sharing and Analysis Centre), afhængig af de privilegier, der er forbundet med brugeren, en hacker kunne installere programmer, samt view, ændre eller slette data. En hacker kan også oprette nye konti med komplette brugerrettigheder. Brugere, hvis konti er konfigurerede til at have færre brugerrettigheder på systemet kan være mildere grad end dem, der opererer med administrative brugerrettigheder, det rådgivende sagde.
Mozilla Firefox 'Bugs
Ifølge Mozillas rådgivende, 9 sikkerhedsspørgsmål blev fikseret i Firefox ESR. Den CVE-2019-11.764 rådgivende, især, er beskrevet som en hukommelse spørgsmål om sikkerhed, og har behandlet flere problemer i Firefox 69 og Firefox ESR 68.1. Virkningen af sårbarheden er vurderet som kritisk.
Mozilla Foundation siger, at nogle af de sårbarheder der vises ”beviser hukommelse korruption”, hvilket betyder, at de kan udnyttes af beslutsomme angribere at køre arbitrær kode. Det fremgår, at store og mellemstore statslige og erhvervsorganisationer er for det meste i fare.
Andre meget alvorlige fejl rettet i den seneste patch af Firefox ESR omfatter følgende:
CVE-2019-15.903 – en heapoverløb i expat bibliotek i XML_GetCurrentLineNumber;
CVE-2019-11.758 – en potentielt udnyttes nedbrud på grund af 360 Total Security;
CVE-2019-11.757 – en anvendelse efter frigivelse fejl, der opstår, når der oprettes indeks opdateringer i IndexedDB.
Adskillige meget alvorlige svagheder blev fikseret i Mozilla Firefox er CVE-2019-15.903 og CVE-2019-11.757 som også påvirke Firefox ESR, og heapbufferoverløb i FEC forarbejdning i WebRTC kendt under CVE-2018-6156 identifikator.
Anbefalingen MS-ISAC giver er patching det samme, men først efter en passende undersøgelse er afsluttet.
Chrome Chromes Issues
Google Chrome opdatering har fastsat i alt 37 sikkerhedsspørgsmål. En af de sårbarheder blev rapporteret af sikkerhed forsker Man Yue af Semmle Security Research Team, der fik udbetalt en dusør på $20,000. Sårbarheden er tale CVE-2019-13.699 - en yderst alvorlig use-after-free emne i medierne. Der er to andre alvorlige fejl er blevet rettet i browseren – CVE-2019-13.700 (bufferoverløb i Blink) og CVE-2019-13.701 (URL spoof i navigation.)
Mere information om Chromes spørgsmål er tilgængelig i Googles rådgivende.