Mozilla łata krytyczną lukę bezpieczeństwa
W oficjalnym ostrzeżeniu z 8 Stycznia 2020, Mozilla poinformowała o luce w bezpieczeństwie i określiła ją jako krytyczną oraz zapewniła, że jest świadoma zagrożenia ze strony hakerów. Ponadto, firma zaznacza, że to analitycy z chińskiego Qihoo 360, są odpowiedzialni za wykrycie szkodliwej luki. Pomimo wielu próśb o podanie większej ilości informacji, obie firmy nie były zbyt responsywne i kontakt z nimi na jakiś czas ucichł.
CISA (Cybersecurity and Infrastructure Security Agency) ostrzegała natomiast, że zagrożenie może się wiązać z istnieniem jednego lub więcej exploitów, mogących spowodować przejęcie systemu zaatakowanego użytkownika.
Sprawca
Głównym sprawcą całego zamieszania okazał się CVE-2019-17026. Można go określić jako type confusion, pozwalający hakerom na zarządzanie danymi w normalnie niedostępnych lokacjach pamięci. Exploit pojawił się w IonMonkey - kompilatorze JIT JavaScript, będącego częścią przeglądarki. Dostęp poza zamierzonymi granicami pamięci może spowodować nieprzewidziane zachowanie, a nawet wykonanie złośliwego kodu.
Odkrywszy dziurę, Mozilla wypuściła update do najnowszej wersji przeglądarki, czyli Firefox 72, który łata dziurę. Problem wymagał niezwykle szybkiego rozwiązania, gdyż potwierdzono, że pojawiły się już ataki, które wykorzystywały tę podatność.
Przeszłe problemy
Łatka została wypuszczona dzień po opublikowaniu wersji 72, która z kolei uporała się z wcześniejszymi zagrożeniami, spośród których sześć określano jako poważne, a trzy z nich mogły nawet umożliwić hakerom wprowadzenie złośliwego oprogramowania na komputery narażonych użytkowników.
Ponadto, można powiedzieć, że Mozilla ma szczęście do zero-day exploits, ponieważ problem z CVE-2019-17026 pojawiły się siedem miesięcy po tym, jak firma załatała parę innych exploitów tego typu. Umożliwiały one wprowadzenie furtek na zainfekowanych komputerach Mac, używanych przez Coinbase - platformę do wymiany, sprzedaży i przechowywania kryptowalut.