Χθες, η ομάδα της Mozilla κυκλοφόρησε μια νέα ενημερωμένη έκδοση, την 67.0.3, του Firefox browser, καθώς υπάρχει μια κρίσιμη ευπάθεια, την οποία εκμεταλλεύονται ήδη οι hackers.
Σύμφωνα με μια δήλωση, που έκαναν οι μηχανικοί της Mozilla, πρόκειται για μια “type confusing” ευπάθεια, η οποία μπορεί να εμφανιστεί, όταν χειρίζεστε JavaScript στοιχεία, λόγω προβλημάτων στο Array.pop.
Η Mozilla έχει πληροφορίες ότι κάποιοι hackers εκμεταλλεύονται ήδη αυτή την ευπάθεια.
Ο Samuel Groß, ερευνητής ασφαλείας, μαζί με την ομάδα ασφαλείας του Google Project Zero και τους ερευνητές της Coinbase ήταν αυτοί, που ανακάλυψαν την εν λόγω ευπάθεια, η οποία ονομάστηκε CVE-2019-11707.
Προς το παρόν, δεν υπάρχουν πολλές πληροφορίες σχετικά με τη zero-day ευπάθεια και τις επιθέσεις, που έχουν γίνει. Το μόνο, που γνωρίζουμε, είναι η σύντομη περιγραφή, που δημοσιεύτηκε στο site της Mozilla.
Ωστόσο, αν σκεφτούμε τους ερευνητές, που ανακάλυψαν την ευπάθεια, θα μπορούσαμε να υποθέσουμε ότι οι hackers, που εκμεταλλεύονται το σφάλμα, πραγματοποιούν επιθέσεις σε κατόχους cryptocurrency.
Ο Groß και οι υπόλοιποι ερευνητές δεν έδωσαν περισσότερες πληροφορίες σχετικά με την ευπάθεια.
Μια παρατήρηση, που θα μπορούσαμε να κάνουμε, είναι ότι οι zero-day ευπάθειες στον Firefox δεν αποτελούν συχνό φαινόμενο. Αντίθετα, είναι σπάνιες οι φορές, που έχει ανακαλυφθεί ένα τέτοιο σφάλμα στον browser. Η τελευταία φορά, που η ομάδα της Mozilla κλήθηκε να εκδώσει patch για την αντιμετώπιση zero-day ευπάθειας, ήταν τον Δεκέμβριο του 2016. Η ευπάθεια χρησιμοποιούνταν από κάποιους με σκοπό να “ξεσκεπάσει” τους χρήστες του Tor Browser, δηλαδή να μην τους επιτρέπει να παραμείνουν ανώνυμοι.
Αντιθέτως, η Google αντιμετώπισε πρόσφατα ένα τέτοιο ζήτημα ασφαλείας στον browser της. Συγκεκριμένα, η εταιρεία κυκλοφόρησε ένα patch τον Μάρτιο. Η zero-day ευπάθεια, που διορθώθηκε με το patch, χρησιμοποιούνταν μαζί με μια άλλη zero-day ευπάθεια, που βρισκόταν στα Windows 7. Οι hackers εκμεταλλεύονταν και τα δύο σφάλματα και πραγματοποιούσαν επιθέσεις.
