image

Mozilla dicht actief aangevallen zerodaylek in Firefox

woensdag 8 januari 2020, 21:59 door Redactie, 2 reacties

Mozilla heeft vandaag een noodpatch uitgebracht voor een zerodaylek in Firefox dat actief werd aangevallen voordat de update beschikbaar was. Via de kwetsbaarheid kan een aanvaller in het ergste geval volledige controle over het systeem van de gebruiker krijgen.

Alleen het bezoeken van een kwaadaardige of gecompromitteerde website is hierbij voldoende. Er is geen verdere interactie van de gebruiker vereist. Mozilla werd door securitybedrijf Qihoo 360 over de kwetsbaarheid geïnformeerd. Volgens de browserontwikkelaar is het lek in de IonMonkey Just In Time (JIT) compiler van Firefox bij "gerichte aanvallen" ingezet. Verdere details worden echter niet gegeven, behalve dat de kwetsbaarheid remote code execution mogelijk maakt.

Gebruikers krijgen het advies om te updaten naar Firefox 72.0.1 of Firefox ESR 68.4.1. Dit kan via de automatische updatefunctie of Mozilla.org. Vorig jaar juni waren Firefoxgebruikers ook al het doelwit van een zeroday-aanval, terwijl afgelopen november Google nog een noodpatch voor een zerodaylek in Chrome uitbracht.

Reacties (2)
09-01-2020, 09:45 door Anoniem
Hoe kan een aanvaller via een lek in een userprogramma volledige controle over het systeem van de gebruiker krijgen?
Of houdt dat "ergste geval" er rekening mee dat de gebruikers sessie al volledige controle over het systeem heeft?
(m.a.w. een dom geconfigureerd systeem)
09-01-2020, 10:47 door Anoniem
Door Anoniem: Hoe kan een aanvaller via een lek in een userprogramma volledige controle over het systeem van de gebruiker krijgen?
Of houdt dat "ergste geval" er rekening mee dat de gebruikers sessie al volledige controle over het systeem heeft?
(m.a.w. een dom geconfigureerd systeem)

Dat kan niet tenzij het programma met root rechten draait.

Wat wel kan is dat er een tweede zeroday lek wordt gebruikt daarna om rechten te verhogen.. maar dat zie ik niet terug in het artikel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.