Mozilla Firefox 67.0.3 opravuje vážnou zero-day chybu
19.6.2019, Milan Šurkala, aktualita
Od Mozilly jsme se dočkali urychleného vydání nové verze prohlížeče Firefox 67.0.3. Starší verze totiž trpí na závažnou zero-day chybu. Tu totiž už útočníci s úspěchem využívají k napadání obětí.
Pokud používáte internetový prohlížeč Mozilla Firefox a nemáte ještě nejnovější verzi 67.0.3, měli byste zbystřit a zvážit instalaci nové verze. To platí zejména pro ty, kteří mají něco do činění s kryptoměnami. Ve starších verzích prohlížeče do 67.0.2 včetně je totiž závažná chyba CVE-2019-11707, šlo o tzv. zero-day. Zero-day znamená, že se jedná o možnost útoku s pomocí chyby, na kterou ještě v dané době nebyla aktualizace a obět se proti ní vlastně nemohla bránit aktuální aplikací. Jde o nedokonalost v kódu metody array.pop, díky níž lze nesprávným způsobem manipulovat s daty v JavaScriptu a vzdáleně spustit škodlivý kód.
To sice ještě není vše a je potřeba opustit sandbox, nicméně už byly zaznamenány cílené útoky. Na chybu přišli výzkumníci z Google Project Zero a Coinbase Security, přičemž byla reportována 15. dubna. I to napovídá, k čemu byly útoky směřovány, a i když Mozilla nesdělila více podrobností, dá se předpokládat, že šlo o krádež kryptoměn. Ještě připomeňme, že zero-day chyby jsou u Firefoxu zřídkavé a poslední známá nastala v prosinci 2016.