Mozilla zalepila kritickou zero-day zranitelnost Firefoxu

14. 1. 2020

Sdílet

Minulý týden Mozilla uvedla Firefox 72.0.1, který zahrnoval jedinou změnu: záplatu zranitelnosti označené jako CVE-2019-17026. „Jsme si vědomi cílených útoků, které tuto chybu zneužívají,“ napsala Mozilla v krátkém popisu chyby, a naznačila tak, že kyberzločinci už si téhle zero-day zranitelnosti všimli.

Podle Mozilly nahlásila chybu čínská vývojářská společnost Qihoo 360, která vyvíjí antiviry a další bezpečnostní software. Qihoo také vytvořili 360 Secure Browser, tedy prohlížeč, který využívá vykreslovací a javascriptový engine od Googlu, stejně jako Chrome nebo Microsoft Edge.

Zranitelnost ve Firefoxu byla popsána jako tzv. type confusion chyba v kompilátoru JavaScript JIT (Just-in-Time) v rámci javascriptového enginu prohlížeče s názvem SpiderMonkey.

Mozilla tuto zranitelnost ohodnotila jako „kritickou“, což je nejzávažnější hodnocení v několikastupňovém hodnotícím systému společnosti. Pro manuální aktualizaci prohlížeče mohou uživatelé v menu zvolit Nápověda > O aplikaci Firefox (ve Windows) nebo Firefox > O aplikaci Firefox (v macOS). Následující stránka buďto ukazuje, že je váš prohlížeč aktualizován, nebo vás provede aktualizačním procesem.

Aktualizace z minulého týdne byla první aktualizací Firefoxu zaměřenou na zero-day zranitelnost (zranitelnost nultého dne) od června, kdy Mozilla zalepila jinou chybu s označením type confusion.

Zdroj: Computerworld.com (český překlad převzat z BusinessWorld.cz)

Našli jste v článku chybu?