Merkte u uw Firefox-browser waarin u wordt gevraagd bij te werken? Het is omdat Mozilla gewoon een noodsituatie patch uitgebracht aanpakken CVE-2019-11.707, een actief misbruikt kritische beveiligingsprobleem.
Dit betekent dat uw Firefox-browser moet onmiddellijk worden hersteld, zodat je aanvallen te voorkomen. Volgens de officiële documentatie, beveiligingsproblemen zijn opgelost in Firefox 67.0.3 en Firefox ESR 60.7.1.
CVE-2019-11.707: Type Verwarring in Array.pop Vaste
Het officiële beschrijving luidt dat “een soort verwarring kwetsbaarheid kan optreden wanneer het manipuleren van JavaScript-objecten als gevolg van problemen in Array.pop.”Dit leidt uiteindelijk tot een exploiteerbare crash. Zoals reeds gezegd, de bug is in het wild misbruik, Dit betekent dat het effect kritisch.
Er is niet veel informatie over de aanvallen op basis van CVE-2019-11.707. Volgens geruchten, de bug kan worden gebruikt voor het stelen van cryptogeld maar Mozilla heeft niet bevestigd. Meer informatie kan worden vrijgegeven in de komende dagen.
Het is belangrijk op te merken dat CVE-2019-11.707 werd ontdekt door Samuel Groß, onderzoeker bij Google Project Zero, en Coinbase Beveiliging.
In een gesprek met ZDNet, de onderzoeker dat “de bug kan worden benut voor RCE [uitvoering van externe code] maar zou dan moet een aparte zandbak ontsnappen” om de code op een onderliggende besturingssysteem.
Echter, is het zeer waarschijnlijk dat het kan worden benut voor UXSS [universele cross-site scripting] aanvallen, afhankelijk van de doelstellingen van de aanvaller.
De kritische bug bestaat in Firefox versies hoger dan 67.0.3. Gebruikers moeten de nieuwste versie van de browser te installeren om beschermd. Firefox ESR gebruikers nodig versie 60.7.1. Het goede nieuws is dat Mozilla de automatische uitrol van de correctie is begonnen met behulp van ingebouwde update-mechanisme van zijn browser. Houd in gedachten dat je nodig hebt om de browser opnieuw opstarten om de patch worden toegepast.