Minulý týden Mozilla uvedla Firefox 72.0.1, který zahrnoval jedinou změnu: záplatu zranitelnosti označené jako CVE-2019-17026. „Jsme si vědomi cílených útoků, které tuto chybu zneužívají,“ napsala Mozilla v krátkém popisu chyby, a naznačila tak, že kyberzločinci už si téhle zero-day zranitelnosti všimli.
Podle Mozilly nahlásila chybu čínská vývojářská společnost Qihoo 360, která vyvíjí antiviry a další bezpečnostní software. Qihoo také vytvořili 360 Secure Browser, tedy prohlížeč, který využívá vykreslovací a javascriptový engine od Googlu, stejně jako Chrome nebo Microsoft Edge.
Zranitelnost ve Firefoxu byla popsána jako tzv. type confusion chyba v kompilátoru JavaScript JIT (Just-in-Time) v rámci javascriptového enginu prohlížeče s názvem SpiderMonkey.
Mozilla tuto zranitelnost ohodnotila jako „kritickou“, což je nejzávažnější hodnocení v několikastupňovém hodnotícím systému společnosti. Pro manuální aktualizaci prohlížeče mohou uživatelé v menu zvolit Nápověda > O aplikaci Firefox (ve Windows) nebo Firefox > O aplikaci Firefox (v macOS). Následující stránka buďto ukazuje, že je váš prohlížeč aktualizován, nebo vás provede aktualizačním procesem.
Aktualizace z minulého týdne byla první aktualizací Firefoxu zaměřenou na zero-day zranitelnost (zranitelnost nultého dne) od června, kdy Mozilla zalepila jinou chybu s označením type confusion.
Zdroj: Computerworld.com