Новости Критический баг в Firefox мог привести к выполнению произвольного кода

  • Автор темы GLOV
  • Дата начала

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐
Private Club
Старожил
Регистрация
20/5/18
Сообщения
1.158
Репутация
536
Реакции
1.634
RUB
2.000
Депозит
56 072 рублей
Сделок через гаранта
30
Арбитражи
1
firefox-384x220.jpg
Разработчики Mozilla выпустили Firefox 85, где исправили критическую уязвимость, связанную с раскрытием информации. Этот баг можно было объединить с другими уязвимостями и таким образом добиться выполнения произвольного кода в уязвимой системе.

Инженеры Mozilla рассказывают, что пока проблема не имеет идентификатора CVE. Эту уязвимость обнаружили эксперты Trend Micro Zero Day Initiative, и она влияет только на Firefox для Windows, другие операционные системы не затронуты.


Баг был связан с работой графической библиотеки Angle, и его описывают как переполнение буфера, из-за которого происходит раскрытие информации. Проблема присутствует в имплементации метода compressedTexImage3D API в WebGL2. Для ее эксплуатации нужно, чтобы злоумышленник вынудил пользователя посетить вредоносную страницу или открыть вредоносный файл.

«Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к чтению за пределами выделенного буфера. Злоумышленник может использовать эту ошибку в сочетании с другими уязвимостями, в том числе для выполнения произвольного кода в контексте текущего процесса», — объясняют эксперты Zero Day Initiative.
Исправления были включены в состав Firefox 85.0.1 и Firefox ESR 78.7.1. Дополнительные данные о проблеме появится после присвоения CVE.

 
Сверху Снизу