Firefox представляет опасность для криптопользователейНедавно Mozilla обнародовала информацию о новой уязвимости безопасности, затрагивающей пользователей Firefox. На этот раз была обнаружена ошибка удаленного выполнения кода (RCE), которая потенциально позволяла злоумышленникам запускать код на защищенных машинах. Это уже вторая уязвимость в Firefox, исправленная на этой неделе.
В новом уведомлении Mozilla о безопасности подробно описывалась новая уязвимость CVE-2019-11708, затрагивающая все предыдущие версии веб-браузеров Firefox и Firefox ESR. Ошибка исправлена в новых версиях Firefox 67.0.4 и Firefox ESR 60.7.2.
Компания Mozilla охарактеризовала последнюю уязвимость Firefox как имеющую серьезные последствия, что не в полной мере отражает уязвимости, способные собирать сложные пользовательские данные или внедрять код на сайты, посещаемые пользователем во время обычного просмотра веб-страниц.
Нынешняя уязвимость является редкой, поскольку была обнаружена после того, как её выявили в результате активного использования. Она характерна для многих уязвимостей нулевого дня; система изначально использовалась для маркировки пользователей и владельцев криптовалюты.
В сообщениях СМИ говорится, что как прежняя, так и нынешняя уязвимость в Firefox были объединены в двухэтапную атаку с целью запугивания нескольких криптогрупп.
Уязвимость была обнаружена после того, как Филип Мартин, руководитель отдела информационной безопасности Coinbase , сообщил об атаке на Mozilla.
Обе эти уязвимости позволили бы злоумышленнику извлекать сложные данные из дорогостоящего оборудования и, возможно, получить доступ к песочнице Firefox для несанкционированного запуска кода. В случае успеха это могло бы привести к катастрофическим последствиям для пострадавших сайтов.
До сих пор остается неясным, как именно злоумышленники обнаружили уязвимость RCE, но она могла быть выявлена автоматически или же ее удалось обойти сотруднику Mozilla.
Чтобы защититься от этой уязвимости, необходимо обновить Firefox, перейдя в раздел «О программе Firefox» в меню и получив доступ к функцииmatic обновления.
