Een nieuw beveiligingslek met betrekking tot het vrijgeven van informatie, CVE-2020-12418, is net ontdekt in Mozilla Firefox. Ontdekt door Cisco Talos, de kwetsbaarheid kan worden misbruikt door de gebruiker ertoe te verleiden via de browser een speciaal vervaardigde webpagina te bezoeken.
In geval van een succesvolle exploit, de bedreigingsactor kan gelekt geheugen gebruiken om ASLR te omzeilen (Address Space Layout Randomization). Als de fout wordt gecombineerd met andere bugs, de aanvaller kan de mogelijkheid krijgen om willekeurige code uit te voeren, waarschuwen de onderzoekers.
"In overeenstemming met ons gecoördineerde openbaarmakingsbeleid, Cisco Talos werkte samen met Mozilla om ervoor te zorgen dat deze problemen worden opgelost en dat er een update beschikbaar is voor getroffen klanten,', Zegt de blogpost.
Beveiligingslek met betrekking tot het vrijgeven van informatie door Mozilla Firefox: CVE-2020-12418
De officiële definitie van het beveiligingslek is "Mozilla Firefox URL mPath kwetsbaarheid voor het vrijgeven van informatie (TALOS-2020-1088 / CVE-2020-12418)".
Volgens Cisco Talos:
Er bestaat een beveiligingslek met betrekking tot het vrijgeven van informatie in de URL mPath-functionaliteit van Mozilla Firefox Firefox Nightly Version 78.0a1 x64 en Firefox Release Version 76.0.2 x64. Een speciaal vervaardigd URL-object kan leiden tot lezen buiten het bereik. Een aanvaller kan een webpagina bezoeken om dit beveiligingslek te activeren.
Het probleem is getest op Mozilla Firefox Firefox Nightly Version 78.0a1 x64 en Mozilla Firefox Firefox Release Version 76.0.2 x64. Beide versies van de browser worden beïnvloed.
In meer technische termen, de kwetsbaarheid is gerelateerd aan het URL-object. "Een kwaadwillende webpagina die de juiste URL-objectstatus gebruikt, kan het browsergeheugen lekken, waardoor een aanvaller ASLR kan omzeilen en willekeurige code kan uitvoeren,”Verklaren de onderzoekers.
Meer informatie is beschikbaar.
Vorige maand, Mozilla uitgebracht beveiligingsupdates die acht kwetsbaarheden aanpakken, waarvan er vijf als hoog risico werden beoordeeld. Drie van de vijf fouten met een hoog risico kunnen uitvoering van willekeurige code mogelijk maken. In de context van een webbrowser betekent dit dat het laden van een kwaadaardige pagina gemakkelijk kan leiden tot malware-infecties op het systeem. Gelukkig, deze bugs zijn ontdekt door de eigen ontwikkelaars van Mozilla.