Utilizatorii Firefox au avertizat să remedieze defectele critice Securitate cibernetică


Mozilla îi încurajează pe utilizatorii browserelor Firefox să le actualizeze imediat pentru a repara o vulnerabilitate critică la zero. Oricine utilizează Firefox pe un desktop Windows, MacOS sau Linux este în pericol.

Vulnerabilitatea, CVE-2019011707, este o confuzie de tip în Array.pop. Acesta a fost patch-uri în Firefox 67.0.3 și Firefox ESR 60.7.1.

Mozilla a anunțat patch-ul marți, dar vulnerabilitatea a fost descoperită de Samuel Gro de la Google Project Zero pe 15 aprilie.

Mozilla a implementat soluția după schimbul digital de valută Coinbase a raportat exploatarea vulnerabilității pentru atacurile țintite de spearman.

"Luni, 17 iunie 2019, Coinbase a raportat o vulnerabilitate folosită ca parte a atacurilor vizate pentru o campanie de phishing cu sulițe", a declarat Selena Deckelmann, director senior, Firefox Browser Engineering, pentru TechNewsWorld. "În mai puțin de 24 de ore, am lansat un remediu pentru exploatare".

Semnificația Hack-ului de coin-bază

Hackerii au plecat după criptocurrency cu o răzbunare. Au fost atâtea
atacurile în prima jumătate a acestui an ca și în anul trecut, potrivit Cointelegraph.

Până acum, în acest an, au fost furate zeci de milioane de dolari de criptocuritate care au fost furate din schimburi, a spus Cointelegraph.

Infractorii
00000a furat aproape un miliard de dolari de criptocurrency de catre Q3 anul trecut, a raportat Ciphertrace.

Atacul asupra Coinbase este în concordanță cu tendința.

Schimbul a fost vizat în mod repetat. În 2018, a
șir de hacks costa mai mult de 40 bitcoins.

În ianuarie, Coinbase temporar
a înghețat toate tranzacțiile pe Ethereum Classic după ce a detectat un atac asupra rețelei criptocurității.

Atacurile spearficatoare ar putea fi o încercare de a câștiga controlul asupra majorității puterii unei rețele de blocuri, în ceea ce se numește "
51 la sută atac.“

David Vorick, cofondatorul platformei storaeg pe platforma SLA, a declarat pentru anul 2019 că
an al atacului de 51%.

Detaliile tehnice ale defecțiunilor

O vulnerabilitate de tip confuzie poate apărea atunci când se manipulează obiecte JavaScript din cauza problemelor din Array.pop, a spus Mozilla.

Un matrice în JavaScript este o singură variabilă utilizată pentru a stoca mai multe elemente. Acesta este adesea folosit atunci când devs doriți să stocați o listă de elemente și să le accesați cu o singură variabilă.

Un tip sau un tip de date este un atribut al datelor care îi spune compilatorului sau interpretului modul în care programatorul intenționează să utilizeze datele. Aceasta restricționează valorile pe care le poate lua o expresie precum o variabilă sau o funcție, definind operațiile care pot fi efectuate asupra datelor, semnificația datelor și modul în care pot fi stocate valori ale acelui tip.

Tipul de confuzie apare atunci când un program utilizează un singur tip pentru a aloca sau inițializa o resursă, cum ar fi un obiect, un pointer sau o variabilă, dar mai târziu utilizează un alt tip care este incompatibil cu primul care a accesat acea resursă. Aceasta poate declanșa erori logice deoarece resursa nu are proprietățile așteptate. În unele cazuri, poate duce la execuția codului.

Metoda pop () elimină ultimul element dintr-o matrice, returnează acel element și modifică lungimea matricei.

"Array.pop este de obicei folosit cu Array.push pentru a șterge și a adăuga noi valori la matrice de către dezvoltatori", a remarcat Usman Rahim, securitate digitală și manager de operațiuni la Media Trust.

"Această tehnică este, de asemenea, folosită de mulți actori rău-intenționați pentru a amesteca codul rău intenționat în timpul executării", a declarat el pentru TechNewsWorld.

Nivelul de amenințare

Gro a afirmat că defectul poate fi exploatat pentru execuția codului la distanță (RCE) și pentru script-ul universal de site-uri (UXSS).

Ambele metode au fost utilizate pe scară largă în atacurile de hack din trecut.

RCE "va avea utilizatorul la mila unui atacator prin compromiterea completă a aplicației și a serverului Web", a spus Rahim. Atacatorii sofisticați care știu ce caută "pot face o lovitură gravă".

UXSS este la fel de periculos pentru că deschide porțile pentru atacatori pentru a injecta coduri malware și pentru a dezactiva sau a dezactiva funcțiile de securitate ale browserului, a remarcat el. Acesta poate fi, de asemenea, folosit ca un prim pas pentru a dezactiva securitatea împreună cu alte atacuri ".

Cele mai multe exploatații raportate "sunt teoretice fără dovezi de utilizare activă", a declarat Rob Enderle, analist principal la Grupul Enderle.

"Acesta are dovezi de utilizare activă, adică este cunoscut și deja oamenii profită de el", a declarat el pentru TechNewsWorld.

"Având în vedere că a fost folosit într-un atac, este foarte periculos, dar a fost fixat", a spus Enderle. "Acest lucru arată că păstrarea produselor software, în special a browserelor, patch-uri și actualizate este incredibil de importantă. Patch-ul rămâne cea mai bună apărare."


Richard Adhikari a fost un reporter al rețelei de știri ECT din 2008. Domeniile sale de acțiune includ securitatea informatică, tehnologiile mobile, CRM, bazele de date, dezvoltarea de software, computerele mainframe și mid-range și dezvoltarea aplicațiilor. A scris și editat pentru numeroase publicații, inclusiv Săptămâna informațiilor și Computerworld. Este autorul a două cărți despre tehnologia client / server.
Trimiteți-l pe Richard.

.



Cititi mai mult pe technewsworld.com

Lasă un răspuns