Krytyczna luka w Firefoksie. Pod ochroną tylko użytkownicy najnowszej wersji

W Firefoksie wyryto lukę, którą atakujący może wykorzystać do wykonania kodu z takimi samymi uprawnieniami, jak użytkownik. Choć wcześniej konieczne byłoby nakłonienie internauty do kliknięcia w link lub otwarcia pliku, luka uznana została na krytyczną, gdyż docelowo pozwala atakującemu wykonać niemal dowolny kod – jeśli użytkownik korzysta z podniesionych uprawnień, atakujący również je zyskuje.

Problemem dotknięty jest Firefox 56, 57 oraz 58. Podatność ominęła natomiast Firefoksa 52 ESR. Szczegóły przedstawiają doradcy bezpieczeństwa z firmy Cisco zwracający uwagę na konieczność szybkiej reakcji ze strony administratorów. Opisywana podatność polega na wykorzystaniu niewystarczającej sanityzacji plików HTML – to proces polegający na usuwaniu z takich dokumentów wszystkich niepotrzebnych i potencjalnie niebezpiecznych fragmentów.

W tym przypadku podatność ma bezpośredni związek z modułem Chrome. Nie chodzi tu jednak o przeglądarkę konkurencji, lecz o nazwane w ten sposób wybrane elementy interfejsu graficznego Firefoksa; przykładem może być pasek menu czy karty, a słowem – wszystkie elementy interfejsu, które nie są treścią odwiedzanej strony.

Mozilla stanęła już na wysokości zadania i podatność została załatana w najnowszej wersji przeglądarki. Aby nie narażać się na atak, konieczne jest więc pobranie Firefoksa 58.0.1, co możliwe jest na przykład za pośrednictwem naszego katalogu. Cisco zaleca, aby do czasu aż przeglądarka nie zostanie zaktualizowana przed administratorów w firmach czy też samodzielnie w domach, nie otwierać podejrzanych załączników poczty elektronicznej, a Internet przeglądać z uprawnieniami niższymi niż administratora.