Mozilla dicht actief aangevallen zerodaylek in Firefox
Mozilla heeft vandaag een noodpatch uitgebracht voor een zerodaylek in Firefox dat actief werd aangevallen voordat de update beschikbaar was. Via de kwetsbaarheid kan een aanvaller in het ergste geval volledige controle over het systeem van de gebruiker krijgen.
Alleen het bezoeken van een kwaadaardige of gecompromitteerde website is hierbij voldoende. Er is geen verdere interactie van de gebruiker vereist. Mozilla werd door securitybedrijf Qihoo 360 over de kwetsbaarheid geïnformeerd. Volgens de browserontwikkelaar is het lek in de IonMonkey Just In Time (JIT) compiler van Firefox bij "gerichte aanvallen" ingezet. Verdere details worden echter niet gegeven, behalve dat de kwetsbaarheid remote code execution mogelijk maakt.
Gebruikers krijgen het advies om te updaten naar Firefox 72.0.1 of Firefox ESR 68.4.1. Dit kan via de automatische updatefunctie of Mozilla.org. Vorig jaar juni waren Firefoxgebruikers ook al het doelwit van een zeroday-aanval, terwijl afgelopen november Google nog een noodpatch voor een zerodaylek in Chrome uitbracht.
Of houdt dat "ergste geval" er rekening mee dat de gebruikers sessie al volledige controle over het systeem heeft?
(m.a.w. een dom geconfigureerd systeem)
Of houdt dat "ergste geval" er rekening mee dat de gebruikers sessie al volledige controle over het systeem heeft?
(m.a.w. een dom geconfigureerd systeem)
Dat kan niet tenzij het programma met root rechten draait.
Wat wel kan is dat er een tweede zeroday lek wordt gebruikt daarna om rechten te verhogen.. maar dat zie ik niet terug in het artikel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.