Wszystkim użytkownikom przeglądarki Mozilla Firefox zaleca się jak najszybszą aktualizację do najnowszej wersji oznaczonej jako 67.0.3. Zawiera ona łatkę na krytyczną podatność 0-day odnalezioną. Co ważne, odnotowano liczne przypadki wykorzystania jej przez atakujących.
Lukę można wykorzystać wyłącznie w pulpitowych wersjach Firefoksa – w niebezpieczeństwie są użytkownicy Windowsa, macOS-a i Linuksa. Podatność nie występuje w wersjach mobilnych przeglądarki. Odnalezienie krytycznej podatności przypisuje się Samuelowi Grossowi z Google Project Zero oraz grupie Coinbase Secutiry.
Zobacz też: Liga Entropii – Cloudflare uruchomiło ciekawy darmowy generator liczb losowych
Niestety, jak dotąd posiadamy wyłącznie szczątkowe informacje o podatności. Przypisano sygnaturę CVE-2019-11707 i, jak wspomnieliśmy, ma status krytyczny. Z informacji udostępnionych przez Mozillę wiemy jedynie, że manipulacja obiektami JavaScript może powodować problemy (niezgodność typów) z obsługą metody pop() modyfikującą zawartość tablic.
Na razie nie udostępniono żadnych demonstracji czy PoC, potwierdzone zostały jedynie informacje, że CVE-2019-11707 powoduje awarię Firefoksa, która może być wykorzystana przez atakujących. Według nieoficjalnych informacji atakujący wykorzystują podatność między innymi do okradania posiadaczy kryptowalut.
Zobacz też: Nowy banalny sposób na ominięcie 2FA – na nic zmiany w uprawnieniach na Androidzie
