Lançamentos de atualização do Firefox com o patch da vulnerabilidade CVE-2019-17026
A nova atualização do Mozilla Firefox foi lançada com a correção de uma vulnerabilidade de dia zero rotulada como CVE-2019-17026, que foi ativamente explorada na natureza. A vulnerabilidade permite que atacantes que exploram o navegador assumam o controle completo sobre o sistema infectado.
Aqui está a notificação emitida pela Agência de Segurança Cibernética e Infraestrutura (CISA) do Departamento de Segurança Interna dos Estados Unidos:
“A Mozilla lançou atualizações de segurança para solucionar vulnerabilidades no Firefox e Firefox ESR. Um invasor pode explorar essa vulnerabilidade para controlar o sistema afetado. Essa vulnerabilidade foi detectada em explorações na natureza. ”
Na verdade, isso indica o quão crítica era a vulnerabilidade. A atualização do Firefox com as correções desta vulnerabilidade foi lançada em 8 de janeiro, logo após outra grande versão 72 de 7 de janeiro, que corrigiu 11 vulnerabilidades de segurança. Todos os usuários do Firefox devem corrigir imediatamente o navegador com a atualização mais recente, que é 72.0.1 para Firefox e 68.4.1 Firefox ESR.
De onde a vulnerabilidade ocorre
O Mozilla Firefox é o navegador mais popular e o segundo mais usado depois do Google Chrome. Segundo as estatísticas mais recentes, ela ocupa 9,54% da participação de mercado nos negócios. Esta pode ser a razão pela qual a atualização está sinceramente focada e o instituto com sede no governo estava aconselhando os usuários a instalar a atualização mais recente do Firefox com o patch da vulnerabilidade de dia zero.
O Qihoo 360, uma empresa de segurança chinesa, descobriu essa falha CVE-2019-17026 do navegador Firefox. Nenhuma descoberta da ameaça Intelligence Company foi publicada publicamente e nenhum detalhe foi revelado àqueles que tentaram entrar em contato com a empresa. O que se sabe é que a vulnerabilidade ocorre quando o recurso que o programa aloca ou inicializa não encontra nenhuma correspondência com o que os recursos originalmente usados nele. Em outras palavras, alguma execução remota de código pode ser usada para acessar o programa.
Qual é a única coisa conhecida atualmente, conforme explicado no comunicado da Mozilla:
“Informações de alias incorretas no compilador IonMonkey JIT para definir elementos da matriz podem levar a uma confusão de tipos.”
Vulnerabilidades de dia zero são muito perigosas
As vulnerabilidades de dia zero de um programa são os bugs que ainda não foram descobertos pelo desenvolvedor ou por outros membros da comunidade de segurança da informação e estão sendo usados por agentes mal-intencionados na natureza. Os hackers podem utilizar esses bugs e explorar qualquer coisa sem limitações. Recentemente, as duas vulnerabilidades do Firefox que foram corrigidas afetaram a versão do navegador para Mac OS e permitiram aos hackers criar backdoor para troca de criptomoedas.