There is still lots of work to do and more details to be published (including other browsers). Stay tuned.

— Francisco Alonso (@revskills) April 3, 2020

Разработчики Mozilla выпустили обновленную версию Firefox 74.0.1, где исправили две свежие проблемы, которые уже эксплуатировали хакеры. Всем пользователям рекомендуют обновиться как можно скорее. Новая версия Firefox включает исправления для критических уязвимостей CVE-2020-6819 и CVE-2020-6820. Обе проблемы относятся к классу use-after-free и связанны с тем, как Firefox использует собственное пространство памяти. По сути, уязвимости позволяют хакерам размещать код в памяти Firefox и выполнять его в контексте браузера. Обычно подобные баги используются для выполнения кода на устройствах жертв, хотя влияние и охват уязвимостей могут различаться. В данном случае ошибки влияют на версии браузера Firefox, работающие в операционных системах Windows, macOS и Linux. «В зависимости от привилегий пользователя, злоумышленник может устанавливать программы; просматривать, изменять или удалять данные; создавать новые учетные записи с полными правами пользователя. Пользователи, чьи учетные записи настроены на меньшее количество прав, могут подвергаться меньшему воздействию, чем те, кто работает с правами администратора», — гласит официальный бюллетень безопасности. Пока разработчики не сообщают подробностей о том, в каких именно атаках применялись данные 0-day. За обнаружение и раскрытие проблем в Mozilla поблагодарили ИБ-специалистов Франсиско Алонсо и Хавьера Маркоса из JMP Security. Интересно, что при этом Алонсо пишет у себя в Twitter, что обнаруженные уязвимости также могут влиять и на другие браузеры, хотя пока неизвестно, на какие и каким именно образом. There is still lots of work to do and more details to be published (including other browsers). Stay tuned.