in

Firefox recebe correções por duas falhas zero-day

A Mozilla lança o Firefox 74.0.1 para corrigir dois bugs explorados por hackers.

Firefox 81está disponível para baixar

Se  você é usuário do navegador Mozilla Firefox, deve aplicar imediatamente a nova atualização que corrige dois problemas de zero-day descobertos.  Os dois bugs que estão sendo explorados ativamente por hackers. A versão foi denominada Firefox 74.0.1 que corrige as duas falhas zero-day.

Firefox recebe correções por duas falhas zero-day

As correções estão disponíveis no Firefox 74.0.1, lançado ainda na sexta-feira (02/04). Esta nova versão do Firefox inclui correções para CVE-2020-6819 e CVE-2020-6820, dois erros que residem na maneira como o Firefox gerencia seu espaço de memória.

Os bugs são referentes às vulnerabilidades de user-after-free, que permitem aos hackers inserir código na memória do Firefox e executá-lo no contexto do navegador. Esses bugs podem ser explorados para executar o código nos dispositivos da vítima, embora o impacto e o alcance desse código geralmente variem.

Detalhes sobre os ataques reais em que esses dois bugs estão sendo explorados ainda são mantidos em sigilo. No entanto, esta é uma prática comum entre fornecedores de software e pesquisadores de segurança, pois eles se concentram em fornecer os patches primeiro e depois investigar mais os ataques.

Quem descobriu

A Mozilla creditou à empresa de segurança JMP Security e pesquisador de segurança Francisco Alonso a descoberta das falhas do dia zero.

Em um tweet, Alonso sugeriu que os bugs descobertos agora também podem afetar outros navegadores, embora não esteja claro se esses navegadores também foram explorados.

Contudo, este é o segundo dia zero que a Mozilla corrige no Firefox este ano. Da mesma forma, em janeiro foi corrigido outro bug, com o lançamento do Firefox v72.0.1. Esse bug foi explorado para atacar usuários na China e no Japão como parte de uma campanha de espionagem cibernética patrocinada pelo estado, de acordo com relatórios publicados pelo Qihoo 360 e Japan CERT.

ZDNet