A Mozilla lançou o Firefox 67.0.3 e o Firefox ESR 60.7.1 para corrigir uma vulnerabilidade ativamente explorada e crítica que poderia permitir que atacantes executassem remotamente código arbitrário em máquinas que executavam versões falhas ??do Firefox. Para resolver isso, a Mozilla lança Firefox 67.0.3.
Como diz o comunicado de segurança da Mozilla, os desenvolvedores do Firefox estão “cientes de ataques direcionados que atacam essa vulnerabilidade”. Iso poderia permitir que atacantes que explorassem esta vulnerabilidade assumissem o controle dos sistemas afetados.
Detalhes da falha
A falha do dia zero do Firefox e Firefox ESR corrigida pela Mozilla foi reportada por Samuel Groß, do Google Project Zero, e pela equipe Coinbase Security.
A vulnerabilidade de confusão de tipos rastreada como CVE-2019-11707 ocorre “ao manipular objetos JavaScript devido a problemas no Array.pop“.
Os invasores podem desencadear a confusão de tipos enganando os usuários de versões do Firefox não corrigidas para visitar uma página da Web criada com códigos maliciosos. Então, subsequentemente, executar código arbitrário em seus sistemas.
A Agência de Segurança de Infraestrutura e Segurança Cibernética dos EUA (CISA) também emitiu um alerta aconselhando os usuários a revisarem o Mozilla Security Advisory para Firefox 67.0.3 e o Firefox ESR 60.7.1 e aplicarem as atualizações necessárias.
Embora não haja outras informações relacionadas a essa falha, todos os usuários são aconselhados a instalar as versões corrigidas do Firefox nos seguintes links:
- Firefox 67.0.3 para Windows de 64 bits
- Firefox 67.0.3 para Windows 32 bits
- Firefox 67.0.3 para macOS
- Firefox 67.0.3 para Linux 64 bits
- Firefox 67.0.3 para Linux 32 bits
Mesma falha já foi corrigida antes
Este não é o primeiro problema deste tipo no Firefox que recebe uma correção emergencial. Da mesma forma, em 2016, a Mozilla corrigiu outra falha com o lançamento do Firefox 50.0.2 e 45.5.1 ESR. Além disso, o Tor Project lançou o Tor Browser 6.0.7 para corrigir o mesmo problema.
Naquela época, a vulnerabilidade era explorada pelos invasores para anonimizar os usuários do Navegador Tor e coletar dados, incluindo seus endereços IP, endereços MAC e nomes de host.
O Google lançou o seu próprio patch Zero Day no início de março, com o lançamento do Google Chrome 72.0.3626.121, que veio com um aviso de que a vulnerabilidade corrigida no lançamento foi ativamente explorada na natureza.
A falha 0day rastreada como CVE-2019-5786 e classificada como alta severidade foi a falha use-after-free presente na API FileReader do navegador, uma API projetada para permitir que o navegador acesse e leia arquivos armazenados localmente.
A Microsoft também lançou uma atualização de segurança fora de banda que corrigiu uma vulnerabilidade de execução remota de código no Internet Explorer em dezembro de 2018, uma falha descoberta pelo Threat Analysis Group do Google, que observou a vulnerabilidade sendo usada em ataques direcionados.