Heeft u uw Firefox-browser bijgewerkt?? Mozilla heeft zojuist beveiligingsupdates uitgebracht die acht kwetsbaarheden aanpakken, waarvan er vijf als hoog risico werden beoordeeld. Om te worden beschermd tegen de aanvallen, gebruikers zouden Firefox moeten gebruiken 77.
Als u uw Firefox-browser al een tijdje niet opnieuw hebt opgestart, Je zou.
8 Firefox-kwetsbaarheden ontdekt
Drie van de vijf fouten met een hoog risico kunnen uitvoering van willekeurige code mogelijk maken. In de context van een webbrowser betekent dit dat het laden van een kwaadaardige pagina gemakkelijk kan leiden tot malware-infecties op het systeem. Gelukkig, deze bugs zijn ontdekt door de eigen ontwikkelaars van Mozilla.
Mozilla-ontwikkelaars Tom Tung en Karl Tomlinson ontdekten de risicovolle CVE-2020-12410-bugs, beschreven als geheugenveiligheidsbugs opgelost in Firefox 77 en Firefox ESR 68.9. "Sommige van deze bugs vertoonden tekenen van geheugenbeschadiging en we nemen aan dat sommige van deze problemen met voldoende inspanning zouden kunnen zijn misbruikt om willekeurige code uit te voeren,'Mozilla zegt.
Volgende op de lijst met de gevaarlijkste bugs die in Firefox worden behandeld 77 is CVE-2020-12406, of een JavaScript-type verwarring met NativeTypes. Gemeld door Iain Ireland, een Mozilla-ontwikkelaar, de bug kan leiden tot het uitvoeren van willekeurige code. De bug wordt veroorzaakt door een ontbrekende typecontrole tijdens het verwijderen van niet-ingepakte objecten, resulterend in een crash.
De derde kwetsbaarheid die intern is ontdekt, is CVE-2020-12411. De geheugenveiligheidsbugs zijn ontdekt door Mozilla-ontwikkelaars door Gijs (hij / hem), Randell Jesup die geheugenveiligheidsbugs in Firefox meldde 76. Sommige van deze bugs vertoonden tekenen van geheugenbeschadiging en Mozilla-onderzoekers veronderstellen dat "met voldoende inspanning hadden sommige hiervan kunnen worden benut om willekeurige code uit te voeren".
CVE-2020-12399 is een ander voorbeeld van de vijf zeer ernstige kwetsbaarheden. Het wordt beschreven als een timingaanval op DSA-handtekeningen in de NSS-bibliotheek. De bug is gemeld door Cesar Pereida Garcia en de Network and Information Security Group (NISEC) aan de Tampere University. De impact van de kwetsbaarheden wordt als hoog beschouwd. Volgens het officiële Mozilla-advies, NSS heeft tijdsverschillen vertoond bij het uitvoeren van DSA-handtekeningen, die kan worden misbruikt en uiteindelijk privésleutels kan lekken.
Een ander ernstig probleem is CVE-2020-12405, of een use-after-free in SharedWorkerService-kwetsbaarheid, gerapporteerd door Marcin ‘Icewall’ Poot van Cisco Talos. Bij het bladeren door een kwaadaardige pagina, een race-conditie in onze SharedWorkerService kan optreden en leiden tot een potentieel misbruikbare crash, het advies beschreven.
De ernstigste bug van de resterende drie kwetsbaarheden is CVE-2020-12407, beoordeeld als matig. De fout is gerelateerd aan het geheugenlek van de GPU:
Mozilla-ontwikkelaar Nicolas Silva ontdekte dat bij het gebruik van WebRender, Firefox zou onder bepaalde omstandigheden willekeurig GPU-geheugen lekken naar het zichtbare scherm. De gelekte geheugeninhoud was zichtbaar voor de gebruiker, maar niet waarneembaar vanuit webcontent.
Eindelijk, CVE-2020-12408 en CVE-2020-12409 worden beide beschouwd als laag risico en houden verband met URL-spoofing. Ze zijn gemeld door onafhankelijk onderzoeker Rayyan Bijoora.