Mozilla и Tor выпустили экстренное обновление для уязвимости в Firefox и Tor, которая позволяет получить полный контроль над компьютером

Mozilla Foundation и Tor выпустили экстренное обновление для «бага» в браузерах Firefox и Tor, который позволяет получить полный контроль над компьютером, на котором установлены эти браузеры.

Уязвимость CVE-2019-11707 относится к типу "type confusion" (несоответствие используемых типов данных). Причиной её возникновения стали проблемы в обработке типов данных в методе Array.pop, используемом при работе браузера с объектами JavaScript. Согласно описанию на сайте Mozilla, это может привести к «эксплуатируемому сбою» в работе браузера.

Уязвимость критическая, поскольку допускает запуск произвольного кода (говоря конкретнее, вредоносного JavaScript прямо в браузере) и впоследствии - перехват контроля над всей системой.

Затронуты все версии Firefox и Firefox ESR под Windows, macOS и Linux. Внеплановые обновления Firefox 67.0.3 и Firefox ESR 60.7.1 исправляют проблему.

Если обновления затронутых браузеров не производятся автоматически, настоятельно рекомендуется обновить их вручную как можно скорее. Возможно, задействовать её для запуска вредоносного кода в целевой системе не настолько просто, чтобы с этим справился начинающий, но тем не менее, атаки уже имели место быть, а следовательно, угроза требует немедленной нейтрализации.

Подробностей о произошедших в начале недели атаках с использованием данных уязвимостей, никто пока не опубликовал.