Mozilla on korjannut kaksi nollapäivän tietoturva-aukkoja Firefoxissa, joka salli takaovien asentamisen Mac-tietokoneisiin ohittaen Applen tavanomaiset XProtect- ja Gatekeeper-suojaukset. Firefox-käyttäjien tulee päivittää selain välittömästi.
Ars Technica Dan Goodinin:
Mozilla julkaisi tiistaina päivityksen, joka korjasi koodin suorittamisen haavoittuvuuden JavaScript-ohjelmointimenetelmässä, joka tunnetaan nimellä Array.pop. Mozilla julkaisi torstaina toisen korjaustiedoston, joka korjasi käyttöoikeuksien eskalointivirheen, joka mahdollisti koodin murtautumisen suojaushiekkalaatikosta, jota Firefox käyttää estääkseen epäluotettavaa sisältöä joutumasta vuorovaikutukseen tietokoneen käyttöjärjestelmän arkaluonteisten osien kanssa.
Nimeämättömät hakkerit käyttivät nollapäiviä hyväkseen tällä viikolla, mutta toistaiseksi tiedetään, että hyökkäykset ovat kohdistuneet vain kryptovaluuttaan osallistuviin Mac-käyttäjiin.
3/ Emme ole havainneet todisteita asiakkaille kohdistetusta hyväksikäytöstä. Emme olleet ainoa kryptoorganisaatio, joka on kohdistettu tässä kampanjassa. Pyrimme ilmoittamaan muille organisaatioille, joiden uskomme myös joutuneen kohteena. Julkaisemme myös joukon IOC:ita, joita organisaatiot voivat käyttää mahdollisen altistumisensa arvioimiseen. - Philip Martin (@SecurityGuyPhil) 19. kesäkuuta 2019
Kuten Mac-tietoturvaasiantuntija Patrick Wardle huomautti, XProtect ja Gatekeeper eivät tarjonneet suojaa tässä tapauksessa, koska he skannaa vain sovelluksia, joissa on karanteenilippu . Onneksi tämä voi muuttua macOS Catalinassa .
Macin Firefox-käyttäjien pitäisi päivitä verkkoselain versioon 67.0.4 mahdollisimman pian pitääkseen itsensä suojattuna.
Tarkemmat tiedot ovat luettavissa osoitteessa Ars Technica .
Tunnisteet: Mozilla , Firefox
Suosittu Viestiä