Новооткриен проблем со прелистувачите Firefox и Tor ги принудија нивните програмери да издадат
вонредни надградби за да ја затворат „дупката“. Оваа ранливост им овозможува на хакерите да
добијат целосна контрола врз Windows, Linux и MacOS компјутери кои користат било кој од двата
прелистувачи.
Идентификуван како CVE-2019-11707, ранливоста се однесува на категоријата „type confusion“ или
недоследност на користените типови на податоци. Се јавува поради проблеми со обработка на
податоци во Array.pop кој се користи при работа на прелистувачот со JavaScript објекти.
Според описот на веб страната на Mozilla, овој проблем може да резултира со „колапс кој може да
се искористи“ во работата на прелистувачот.
Ранливоста е критична поради тоа што ви овозможува да стартувате произволен код – конкретно,
злонамерен JavaScript директно во прелистувачот и потоа да воспоставите контрола врз целиот
систем.
Сите верзии на Firefox и Firefox ESR под Windows, MacOS и Linux се засегнати. Вонредното
ажурирање на Firefox 67.0.3 и Firefox ESR 60.7.1 го решава проблемот.
Непознати хакери веќе ја користеле ранливоста во серија фишинг-напади што започнаа на 17-ти
јуни. Еден ден по откривањето на нападот, Mozilla издаде „пач“ за својот прелистувач.
Во исто време, Самуел Грос, експерт на Google Project Zero, сподели дека ја открил ранливоста веќе
во средината на април оваа година. и дека „закрпите“ за неа започнале да излегуваат пред една
недела во јавните бета верзии на Firefox.
Што се однесува до прелистувачот Tor, кој е на база на кодот на Firefox, ранливоста не влијае на
корисниците кои користат режим за побезбедно / најбезбедно. За други корисници, достапнo е
ажурирање на прелистувачот 8.5.2 и проширување NoScript 10.6.3 за да се неутрализира
ранливоста.