Uma nova vulnerabilidade de divulgação de informações, CVE-2020-12418, foi descoberto no Mozilla Firefox. Descoberto pelo Cisco Talos, a vulnerabilidade pode ser explorada enganando o usuário a visitar uma página da web especialmente criada por meio do navegador.
No caso de uma exploração bem-sucedida, o agente da ameaça poderia usar memória vazada para ignorar o ASLR (Address Space Layout Randomization). Se a falha for combinada com outros erros, o invasor pode obter a capacidade de executar código arbitrário, os pesquisadores alertam.
“De acordo com nossa política de divulgação coordenada, O Cisco Talos trabalhou com a Mozilla para garantir que esses problemas sejam resolvidos e que haja uma atualização disponível para os clientes afetados,”Diz o post do blog.
Vulnerabilidade de divulgação de informações do Mozilla Firefox: CVE-2020-12418
A definição oficial da vulnerabilidade é “Vulnerabilidade de divulgação de informações do mPath do URL do Mozilla Firefox (TALOS-2020-1088 / CVE-2020-12418)”.
De acordo com a Cisco Talos:
Existe uma vulnerabilidade de divulgação de informações na funcionalidade do URL mPath do Mozilla Firefox Firefox Nightly Versão 78.0a1 x64 e Firefox Release Version 76.0.2 x64. Um objeto de URL especialmente criado pode causar uma leitura fora dos limites. Um invasor pode visitar uma página da Web para acionar essa vulnerabilidade.
O problema foi testado no Mozilla Firefox Firefox Nightly versão 78.0a1 x64 e no Mozilla Firefox Firefox versão 76.0.2 x64. Ambas as versões do navegador são afetadas.
Em termos mais técnicos, a vulnerabilidade está relacionada ao objeto URL. “Uma página mal-intencionada da Web que usa um estado de objeto de URL apropriado pode vazar a memória do navegador que, consequentemente, pode ajudar um invasor a ignorar o ASLR e executar código arbitrário,Explicam os pesquisadores.
Mais informações são acessível.
Mês passado, Mozilla lançado atualizações de segurança que abordam oito vulnerabilidades, cinco dos quais classificados como de alto risco. Três das cinco falhas de alto risco podem permitir a execução arbitrária de código. No contexto de um navegador da Web, isso significa que o carregamento de uma página maliciosa pode facilmente levar a infecções por malware no sistema. Felizmente, esses bugs foram descobertos pelos próprios desenvolvedores da Mozilla.