Mozilla přichází s novou verzí internetového prohlížeče Firefox 74.0.1. Ta opravuje dvě vážné zero-day chyby typu use-after-free, které dovolovaly spuštění škodlivého kódu a už byly využívány i k praktickým útokům.
U internetového prohlížeče Mozilla Firefox byly nedávno objeveny dvě chyby typu use-after-free označené jako CVE-2020-6819 a CVE-2020-6820. Ty se staly zero-day chybami, což znamená, že pro ně neexistovala oprava, ale už byly využívány k praktickým útokům. Uživatelé tak neměli možnost se bránit aktualizací produktu. To se nyní mění a vychází nová verze Firefoxu 74.0.1 a Firefoxu ESR 68.6.1.
Ta tyto chyby opravuje. Jak už napovídá název use-after-free, útok je založen na pokusu přistupovat k paměti, která už byla uvolněna metodou free(). To pak vede k chybě, kterou lze využít ke spuštění vlastního kódu (obvykle škodlivého). Na tyto chyby přišla společnost JMP Security a bezpečnostní výzkumník Francisco Alonso. Pokud tedy používáte Firefox, měli byste aktualizovat na nejnovější verzi.
