Mozilla patcher endnu en alvorlig sårbarhed i Firefox

Endnu en alvorlig sårbarhed i Firefox er blevet lukket af Mozilla.

For anden gang på kort tid er der udsendt en opdatering til Firefox-browseren, der lukker for en alvorlig sårbarhed. Det fortæller Threatpost med henvisning til en advisory fra Mozilla - virksomheden bag Firefox.

Beskeden fra Mozilla er udsendt 20. juni.

Tidligere på måneden, 18. juni, udsendte Mozilla en advisory om en anden alvorlig sårbarhed, der gør det muligt at eksekvere kode via ondsindet javascript. Sårbarheden fra 18. juni har fået id'et CVE-2019-11707, og den blev lukket ned med Firefox verion 67.0.3.

Og nu er Firefox altså igen blevet opdateret - denne gang til version 67.0.4. Opdateringen lukker for den seneste sårbarhed, der har fået id'et CVE-2019-11709.

Sårbarheden kan - kombineret med andre sårbarheder - gøre det muligt for en angriber at eksekvere vilkårlig kode på et sårbart system.

Mens CVE-2019-11707 fik en 'kritisk' rating af Mozilla, så har CVE-2019-11709 fået den mindre alvorlige 'high' som trusselsvurdering.

It-sikkerhedschef hos Coinbase, Philip Martin, har på Twitter oplyst, at kryptovaluta-virksomheden har observeret både CVE-2019-11707 og CVE-2019-11709 blive udnyttet af en angriber.


Mozillas tekniske forklaring på CVE-2019-11709 er som følger:

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes can result in the non-sandboxed parent process opening web content chosen by a compromised child process. When combined with additional vulnerabilities this could result in executing arbitrary code on the user's computer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere