Szerző: Hlács Ferenc

2019. június 19. 09:25

Zero-day sebezhetőséget javított a Firefoxban a Mozilla

Aktívan kihasznált hibáról van szó, mindenkinek ajánlott késlekedés nélkül frissíteni.

Zero-day sebezhetőséget foltoz a Firefox legújabb frissítése. A tegnap kiadott, 67.0.3-as verziószámú patch-et érdemes haladéktalanul telepíteni, az általa javított sérülékenységet ugyanis a Mozilla biztonsági szakértői szerint jelenleg is aktívan kihasználja több rosszindulatú fél.

Egy típustévesztéses (type confusion) sebezhetőségről van szó, amely a JavaScript objektumok módosításakor lép fel, és amellyel összeomlás idézhető elő a böngészőben - ennek eredményeként pedig akár tetszőleges kódfuttatásra is lehetősége nyílhat a támadóknak az érintett számítógépeken. A Mozilla kapcsolódó posztja szerint a szervezet több esetről is tud, amelynek során célzott támadásokhoz használták fel a biztonsági rést. A sérülékenység kihasználásához a szakértők szerint a támadóknak elég rávenni a felhasználót, hogy a javítást még nem tartalmazó böngészőverzióval látogasson el egy megfelelően preparált weboldalra, és már el is juttathatják a rosszindulatú kódot a megcélzott eszközre.

mozill

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

A CVE-2019-11707 kódszám alatt nyilvántartott hibát a Google Project Zero biztonsági részlegének szakértője Samuel Groß, illetve a Coinbase Security csapata is jelezte a Mozilla felé. A Bleeping Computer szerint továbbá a patch megjelenését követően az Egyesült Államok kiberbiztonsági ügynöksége, a CISA (Cybersecurity and Infrastructure Security Agency) is kiadott egy figyelmeztetést, arra biztatva a felhasználókat, hogy minél előbb telepítsék a szükséges javításokat.

Az aktív támadásokról egyik fél sem közölt részleteket, így egyelőre azt sem tudni, azokban pontosan hány felhasználó lehet érintett, miután azonban a Mozilla bejegyzésében célzott akciókról beszél, jó eséllyel nem tömegesen kihasznált sebezhetőségről van szó. A ZDNet szerint valószínűleg elsősorban különböző kriptovaluták birtokosait vehetik célba a támadók, erre utalhat, hogy a hiba felfedezői között az említett Coinbase is ott volt. A Mozilla egyébként legutóbb 2016 decemberében foltozott zero-day hibát a Firefoxban, akkor a bugot a szoftverre támaszkodó Tor böngésző anonim felhasználóinak beazonosítására használták .

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról