Κατά τη διάρκεια του hacking διαγωνισμού Pwn2Own, παρουσιάστηκαν δυο σημαντικές ευπάθειες στην πρόσφατη έκδοση του Firefox, την Firefox 66. Αυτό οδήγησε τη Mozilla στην κυκλοφορία ενός νέου patch για την αντιμετώπιση των ζητημάτων ασφαλείας.
Την προηγούμενη εβδομάδα η Mozilla κυκλοφόρησε την έκδοση Firefox 66.0. Εδώ και 2-3 μέρες όμως, είναι διαθέσιμη η έκδοση 66.0.1 για την αντιμετώπιση των δυο ευπαθειών, CVE-2019-9810 και CVE-2019-9813. Οι ευπάθειες έγιναν γνωστές από τους Richard Zhu, Amat Cama και Niklas Baumstark.
Η Mozilla έδωσε μερικές πληροφορίες για τις δυο ευπάθειες. Η CVE-2019-9810 επιτρέπει επίθεση με υπερχείλιση προσωρινής μνήμης και προκαλεί πρόβλημα στο bounds checking εξαιτίας εσφαλμένων πληροφοριών στο JMIT IonMonkey για τη μέθοδο Array.prototype.slice .
Η ευπάθεια CVE-2019-9813 προκαλεί ένα πρόβλημα στον κώδικα IonMonkey JIT, το οποίο επιτρέπει σε χάκερς να αποκτήσουν πρόσβαση στη μνήμη.
Δεδομένης της κατάστασης, όλοι οι χρήστες θα πρέπει να εγκαταστήσουν την ενημερωμένη έκδοση Firefox 66.0.1, σύμφωνα με τη Mozilla. Η εταιρεία χαρακτήρισε τις δυο ευπάθειες «κρίσιμες» και συνέστησε στους χρήστες να δράσουν γρήγορα.
Η ενημερωμένη έκδοση είναι ήδη διαθέσιμη σε πλατφόρμες Windows και MacOS μέσω OTA (over-the-air) ενημερώσεων.
Η Mozilla βρίσκεται σε επιφυλακή για το ενδεχόμενο άλλων ζητημάτων ασφαλείας στη νέα έκδοση. Ωστόσο, έχει ήδη ξεκινήσει την προετοιμασία για τη σειρά Firefox 67.0, η οποία θα είναι διαθέσιμη μέσα στο Μάιο.
