Недавно обнаруженные проблемы с браузером, Firefox и Tor заставили своих разработчиков выпустить необычные обновления. Уязвимость позволяет хакерам получить полный контроль над компьютерами под управлением Windows, Linux и MacOS, которые используют любой из двух браузеров.
Идентифицированная как CVE-2019-11707, уязвимость относится к категории «путаницы типов» или несовместимости используемых типов данных. Это происходит из-за проблем с обработкой данных в Array.pop, используемом во время работы браузера JavaScript.
Согласно описанию на сайте Mozilla, эта проблема может привести к «эксплуатационному коллапсу» в работе браузера.
Уязвимость является критической, поскольку она позволяет запускать произвольный код, в частности вредоносный JavaScript, непосредственно в браузере и впоследствии устанавливать контроль над всей системой.
Это влияет на все версии Firefox и Firefox ESR под Windows, MacOS и Linux. Исключительное обновление Firefox 67.0.3 и Firefox ESR 60.7.1 устраняет проблему.
Неизвестные хакеры уже использовали эту уязвимость в серии фишинговых атак, начавшихся 17 июня. Однажды после обнаружения атаки Mozilla выпустила патч для своего браузера.
В то же время Сэмюэль Гросс, эксперт Google Project Zero, сказал, что обнаружил уязвимость уже в середине апреля этого года и что патчи для нее появились неделю назад в публичных бета-версиях Firefox.
Что касается браузера Tor, который устанавливает код Firefox, эта уязвимость не затрагивает пользователей, которые используют режим Safer / Safest. Для других пользователей доступно обновление браузера 8.5.2 и расширение NoScript 10.6.3 для нейтрализации уязвимости.
