We raden u aan om te controleren of u de nieuwste versie van de Firefox-browser gebruikt. Mozilla heeft zojuist verschillende kwetsbaarheden opgelost, een kritische en meerdere zeer ernstig. De update is opgenomen in de Firefox-versie 84, en het verbetert ook de prestaties van Firefox door native ondersteuning toe te voegen voor macOS-hardware die op Apple-processors draait.
De kritieke kwetsbaarheid staat bekend als CVE-2020-16042. Het is opmerkelijk dat dezelfde kritieke bug onlangs ook is aangepakt in een Google Chrome-beveiligingsupdate. Echter, Google beoordeelde het als hoog in termen van ernst. Bovendien, noch Mozilla noch Google hebben een technische beschrijving gegeven van het ernstige probleem, die alleen wordt gemarkeerd als een geheugenbug.
Volgens het beveiligingsadvies van Mozilla, CVE-2020-16042 is een probleem in BigInt, een JavaScript-component die ertoe kan hebben geleid dat niet-geïnitialiseerd geheugen wordt weergegeven. De beschrijving van Google is anders, omdat de bug wordt aangeduid als 'niet-geïnitialiseerd gebruik' dat de V8 JavaScript-engine van Chrome beïnvloedt. In het beveiligingsadvies van Google wordt ook niet de aard van de kwetsbaarheid gespecificeerd. Wat bekend is, is dat dit soort bugs grotendeels worden genegeerd en opgevat als "onbeduidende geheugenfouten".
Hoe zit het met de rest van de kwetsbaarheden die Mozilla verhelpt in Firefox 84?
Zoals reeds gezegd, de rest van de bugs wordt als zeer ernstig beoordeeld. Twee van hen worden beschreven als 'bugs in de veiligheid van het geheugen' – CVE-2020-35114 en CVE-2020-35113. „Sommige van deze bugs vertoonden bewijs van geheugenbeschadiging en we nemen aan dat met voldoende inspanning sommige hiervan kunnen zijn misbruikt om willekeurige code uit te voeren,'Zegt het advies. Beide patches verhelpen problemen in Firefox 84 en ESR 78.6 browser.
Andere kwetsbaarheden die verband houden met browsergeheugen zijn CVE-2020-26971, CVE-2020-26972 en CVE-2020-26973.
Meer informatie is beschikbaar in Mozilla's beveiligingsadvies.
Eerder dit jaar, Firefox herstelde een kwetsbaarheid voor het vrijgeven van informatie. CVE-2020-12418, ontdekt door Cisco Talos, kan worden misbruikt door de gebruiker te misleiden om een speciaal vervaardigde webpagina via de browser te bezoeken. In geval van een succesvolle exploit, de bedreigingsactor kan gelekt geheugen gebruiken om ASLR te omzeilen (Address Space Layout Randomization). Als de fout wordt gecombineerd met andere bugs, de aanvaller kan de mogelijkheid krijgen om willekeurige code uit te voeren, waarschuwen de onderzoekers.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: