Een bos van kritieke beveiligingsproblemen invloed Mozilla Firefox-browser. Een andere, zeer ernstige fout werd ook ontdekt in Google Chrome. Het lijkt erop dat alle bugs zou kunnen leiden tot het uitvoeren van willekeurige code.
Volgens adviserend van MS-ISAC (Multi-State Information Sharing and Analysis Center), afhankelijk van de privileges die bij de gebruiker, Een aanvaller kan programma's te installeren, alsmede view, wijzigen of verwijderen van gegevens. Een aanvaller kan ook nieuwe accounts met volledige gebruikersrechten maken. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem hebben, lopen minder risico dan degenen die werken met beheerdersrechten te zijn, het adviesorgaan zei.
Mozilla Firefox Bugs
Volgens adviserende Mozilla's, 9 veiligheidsproblemen zijn vastgesteld in Firefox ESR. De CVE-2019-11.764 adviserende, in het bijzonder, wordt beschreven als een geheugen veiligheidsprobleem, en heeft diverse problemen in Firefox aangepakt 69 en Firefox ESR 68.1. De impact van de kwetsbaarheid wordt als kritiek.
De Mozilla Foundation zegt dat een deel van de kwetsbaarheden weergegeven “bewijs van het geheugen corruptie”, wat betekent dat ze kunnen worden uitgebuit door vastberaden aanvallers willekeurige code uit te voeren. Het lijkt erop dat grote en middelgrote overheid en organisaties van het bedrijfsleven zijn meestal in gevaar.
Andere zeer ernstige bugs in de nieuwste patch van Firefox ESR gericht zijn de volgende:
CVE-2019-15.903 – een heap overflow in expat bibliotheek in XML_GetCurrentLineNumber;
CVE-2019-11.758 – een potentieel exploiteerbare crash te wijten aan 360 Total Security;
CVE-2019-11.757 – een use-after-free bug die optreedt bij het maken van index-updates in IndexedDB.
Verschillende zeer ernstige kwetsbaarheden werden vastgesteld in Mozilla Firefox zijn CVE-2019-15.903 en CVE-2019-11.757, die ook van invloed zijn Firefox ESR, en een heapbufferoverloop in FEC verwerking WebRTC bekend onder de CVE-2018-6156 identificator.
De aanbeveling MS-ISAC geeft is het patchen meteen maar pas nadat de juiste testen wordt gedaan.
Issues Chrome Chrome
De Google Chrome update is een totaal van vaste 37 veiligheidsvraagstukken. Een van de kwetsbaarheden werd gemeld door security-onderzoeker Man Yue van Semmle Security Research Team, die werd betaald een overvloed aan $20,000. De kwetsbaarheid in kwestie is CVE-2019-13.699 - een zeer ernstige use-after-free kwestie in de media. Er zijn twee andere ernstige bugs in de browser vast – CVE-2019-13.700 (een bufferoverloop in Blink) en CVE-2019-13.701 (URL spoof in de navigatie.)
Meer informatie over problemen Chrome is beschikbaar in Google's adviserende.