Новости

Mozilla устранила уязвимости «нулевого дня» в своих продуктах

21.06.2019
Mozilla устранила уязвимости «нулевого дня» в своих продуктах

20.06.2019 компания Mozilla выпустила новые версии браузеров Firefox и почтовой программы Thunderbird, в которых устранены уязвимости «нулевого дня».

В браузерах Firefox 67.0.4 и Firefox ESR 60.7.2 устранена уязвимость высокого уровня опасности (CVE-2019-11708), позволяющая выйти за пределы «песочницы» (sandbox). Уязвимость возникает из-за некорректной проверки параметров, передаваемых в сообщениях Prompt:Open, которыми обмениваются дочерний и родительский процессы. Эксплуатация уязвимости может привести к тому, что родительский процесс запустится за пределами «песочницы» и позволит открыть веб-контент, выбранный дочерним процессом. В сочетании с другими уязвимостями эта ошибка может привести к выполнению произвольного кода на компьютере пользователя.

В почтовой программе Thunderbird 60.7.2 помимо уязвимости CVE-2019-11708 устранена критическая уязвимость CVE-2019-11707, которая затрагивает метод обработки массивов в языке программирования JavaScript (Array.pop) и относится к категории «путаница типов данных» (type confusion). Эксплуатация уязвимости может привести к аварийному завершению работы программы.

Известны случаи использования указаных уязвимостей при проведении целенаправленных компьютерных атак на компьютеры сотрудников криптовалютной биржи Coinbase.

Индикаторы компрометации:

  • хэши (b639bca429778d24bda4f4a40c1bbc64de46fa79, 23017a55b3d25a2597b7148214fd8fb2372591a5);
  • IP-адреса управляющего центра 89[.]34[.]111[.]113:443, 185[.]49[.]69[.]210:80.

Пользователям настоятельно рекомендуется обновить продукты Mozilla до последних версий.