НОВОСТИ Критический баг в firefox мог привести к выполнению произвольного кода

GLOV

Знаменитый
ЮБИЛЕЙНАЯ ЛЕНТА

GLOV

Знаменитый
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
20 Апр 2019
Сообщения
1,618
Реакции
112
Репутация
0
Род занятий

Готовые кошельки, Дебетовые карты

ГАРАНТ
1

Разработчики Mozilla выпустили Firefox 85, где исправили критическую уязвимость, связанную с раскрытием информации. Этот баг можно было объединить с другими уязвимостями и таким образом добиться выполнения произвольного кода в уязвимой системе.

Инженеры Mozilla рассказывают, что пока проблема не имеет идентификатора CVE. Эту уязвимость обнаружили эксперты Trend Micro Zero Day Initiative, и она влияет только на Firefox для Windows, другие операционные системы не затронуты.


Баг был связан с работой графической библиотеки Angle, и его описывают как переполнение буфера, из-за которого происходит раскрытие информации. Проблема присутствует в имплементации метода compressedTexImage3D API в WebGL2. Для ее эксплуатации нужно, чтобы злоумышленник вынудил пользователя посетить вредоносную страницу или открыть вредоносный файл.

«Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к чтению за пределами выделенного буфера. Злоумышленник может использовать эту ошибку в сочетании с другими уязвимостями, в том числе для выполнения произвольного кода в контексте текущего процесса», — объясняют эксперты Zero Day Initiative.
Исправления были включены в состав Firefox 85.0.1 и Firefox ESR 78.7.1. Дополнительные данные о проблеме появится после присвоения CVE.
 
Сверху