A Firefox-ot készítő Mozilla, két, aktívan kihasznált 0-day, hibát javított a héten a böngészőben. Ennek megfelelően minden Firefox felhasználónak érdemes - sőt kötelező - az új verzióra frissítenie.
Egy típustévesztéses (type confusion) sebezhetőségről van szó, amely a JavaScript objektumok módosításakor lép fel, és amellyel összeomlás idézhető elő a böngészőben - ennek eredményeként pedig akár tetszőleges kódfuttatásra is lehetősége nyílhat a támadóknak az érintett számítógépeken. A Mozilla kapcsolódó posztja szerint a szervezet több esetről is tud, amelynek során célzott támadásokhoz használták fel a biztonsági rést. A sérülékenység kihasználásához a szakértők szerint a támadóknak elég rávenni a felhasználót, hogy a javítást még nem tartalmazó böngészőverzióval látogasson el egy megfelelően preparált weboldalra, és már el is juttathatják a rosszindulatú kódot a megcélzott eszközre.
Alig telt el két nap azután, hogy Mozilla befoltozott egy súlyos zero-day sebezhetőséget a Firefox böngészőben, a szervezet máris újabb zero-day-t javított, amelyet az elsőhöz hasonlóan már aktívan kihasználtak rosszindulatú felek. A soron kívüli frissítés a 67.0.4-es verziószámot viseli, azt, akárcsak a két nappal ezelőtti javítást, késlekedés nélkül érdemes telepíteni.
Az új sérülékenységet ugyanabban a támadássorozatban vetették be, mint az előzőleg foltozott biztonsági rést. A CVE-2019-11708 kód alatt követett hibát, a ZDNet beszámolója szerint a korábbihoz hasonlóan a Coinbase biztonsági csapata jelezte a Mozilla felé. A "sandbox escape" sérülékenység lehetővé tette, hogy illetéktelenek kijussanak a Firefox védett rendszerfolyamatából, és saját kódot futtassanak a böngésző mögött futó operációs rendszeren.
Tehát kérjük a kedves felhasználókat, hogy haladéktalanul frissítsenek a 67.0.4-es verzióra, illetve a megfelelő ESR verzióra (60.7.2).
A két sebezhetőséggel egy ismeretlen hackercsoport a lap értesülései szerint a Coinbase dolgozóit vette célba, akiket spear-phishing támadásokkal igyekeztek rávenni a sérülékenységeket kihasználó, kártékony weboldalak meglátogatására. Az oldalakról aztán a támadók rosszindulatú kódot juttattak az áldozatok számítógépeire, amelyekről jelszavakat és egyéb érzékeny adatokat szereztek meg. A támadás több platformot is érintett, macOS és Windows felhasználók is voltak a célpontok között. A támadók heteken keresztül dolgoztak észrevétlenül, a Coinbase biztonsági csapata ezután lett figyelmes az adatlopásra - a vállalat szerint egyébként az akció mögött álló felek más, kriptovalutákkal foglalkozó cégeket is célba vettek. A Coinbase szerint ugyanakkor a támadók kriptopénzt nem tudtak szerezni a bugokon keresztül.
A hír forrása a HWSW:
