Вчера компания Mozilla выпустила патч для своего браузера Firefox, который устраняет ошибку нулевого дня. По сообщениям сетевых источников, уязвимость активно эксплуатировалась злоумышленниками, но представители Mozilla пока не комментируют данную информацию.
Известно о том, что уязвимость затрагивала JavaScript JIT-компилятор IonMonkey для SpiderMonkey, одного из основных компонентов ядра Firefox, который обрабатывает операции JavaScript. Специалисты отнесли проблему к категории уязвимостей несоответствия используемых типов данных или «type confusion», когда записывающаяся в память информация сначала определяется как один тип данных, но позднее из-за определённых манипуляций переключается на другой тип. Используя данную уязвимость, злоумышленники могли удалённо запускать выполнение произвольного кода на атакованной системе.
Согласно имеющимся данным, рассматриваемая уязвимость была обнаружена специалистами китайской компании Qihoo 360. Представители компании заявили о том, что им известно о ряде случаев, когда упомянутая уязвимость использовалась на практике злоумышленниками. Стоит сказать о том, что недавно в аккаунте Qihoo 360 в сети Twitter появлялось сообщение о том, что компания обнаружила активно эксплуатируемую уязвимость нулевого дня в браузере Internet Explorer. Однако позднее это сообщение было удалено.
Что касается рассматриваемой уязвимости, то она была устранена в версиях браузера Firefox 72.0.1 и Firefox ESR 68.4.1. Пользователям браузера компании Mozilla рекомендуется обновить обозреватель до последней версии, чтобы не стать жертвами злоумышленников.
