forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимость"
Отправлено opennews, 20-Июн-19 21:17

Седом за выпусками Firefox 67.0.3 и 60.7.1 опубликованы (https://www.mozilla.org/en-US/firefox/67.0.4/releasenotes/) дополнительные корректирующие релизы 67.0.4 и 60.7.2, в которых устранена вторая 0-day уязвимость (CVE-2019-11708), позволяющая обойти механизм sandbox-изоляции. Проблема позволяет через манипуляцию с IPC-вызовом Prompt:Open открыть web-контент в дочернем процессе, в котором не используется sandbox. В сочетании с другой уязвимостью данная проблема позволяет обойти все уровни защиты и организовать выполнение кода в системе.

Выявленные в последних двух выпусках Firefox уязвимости до своего исправления были использованы (https://twitter.com/SecurityGuyPhil/status/1141466335592869888) для организации атаки на сотрудников биржи криптовалют Coinbase, а также применялись (https://objective-see.com/blog/blog_0x43.html) для распространения вредоносного ПО для платформы macOS. Утверждается (https://twitter.com/5aelo/status/1141273394723414016), что информация о первой уязвимости была направлена в Mozilla участником проекта Google Project Zero ещё 15 апреля и 10 июня была исправлена (https://hg.mozilla.org/releases/mozilla-beta/rev/109cefe117f...) в бета-версии Firefox 68 (вероятно атакующие проанализировали опубликованное исправление и подготовили эксплоит, воспользовавшись ещё одной уязвимостью для обхода sandbox-изоляции).
URL: https://www.mozilla.org/en-US/firefox/67.0.4/releasenotes/
Новость: https://www.opennet.ru/opennews/art.shtml?num=50913

Исходное сообщение
"В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимость" Отправлено opennews, 20-Июн-19 21:17
Седом за выпусками Firefox 67.0.3 и 60.7.1 опубликованы (https://www.mozilla.org/en-US/firefox/67.0.4/releasenotes/) дополнительные корректирующие релизы 67.0.4 и 60.7.2, в которых устранена вторая 0-day уязвимость (CVE-2019-11708), позволяющая обойти механизм sandbox-изоляции. Проблема позволяет через манипуляцию с IPC-вызовом Prompt:Open открыть web-контент в дочернем процессе, в котором не используется sandbox. В сочетании с другой уязвимостью данная проблема позволяет обойти все уровни защиты и организовать выполнение кода в системе. Выявленные в последних двух выпусках Firefox уязвимости до своего исправления были использованы (https://twitter.com/SecurityGuyPhil/status/1141466335592869888) для организации атаки на сотрудников биржи криптовалют Coinbase, а также применялись (https://objective-see.com/blog/blog_0x43.html) для распространения вредоносного ПО для платформы macOS. Утверждается (https://twitter.com/5aelo/status/1141273394723414016), что информация о первой уязвимости была направлена в Mozilla участником проекта Google Project Zero ещё 15 апреля и 10 июня была исправлена (https://hg.mozilla.org/releases/mozilla-beta/rev/109cefe117f...) в бета-версии Firefox 68 (вероятно атакующие проанализировали опубликованное исправление и подготовили эксплоит, воспользовавшись ещё одной уязвимостью для обхода sandbox-изоляции). URL: https://www.mozilla.org/en-US/firefox/67.0.4/releasenotes/ Новость: https://www.opennet.ru/opennews/art.shtml?num=50913

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Седом за выпусками Firefox 67.0.3 и 60.7.1 опубликованы (https://www.mozilla.org/en-US/firefox/67.0.4/releasenotes/) 
> дополнительные корректирующие релизы 67.0.4 и 60.7.2, в которых устранена вторая 0-day 
> уязвимость (CVE-2019-11708), позволяющая обойти механизм sandbox-изоляции. Проблема 
> позволяет через манипуляцию с IPC-вызовом Prompt:Open открыть web-контент в дочернем процессе, 
> в котором не используется sandbox. В сочетании с другой уязвимостью данная 
> проблема позволяет обойти все уровни защиты и организовать выполнение кода в 
> системе.

> Выявленные в последних двух выпусках Firefox уязвимости до своего исправления  были 
> использованы (https://twitter.com/SecurityGuyPhil/status/1141466335592869888) 
> для организации атаки на сотрудников биржи криптовалют Coinbase, а также применялись 
> (https://objective-see.com/blog/blog_0x43.html) для распространения вредоносного 
> ПО для платформы macOS. Утверждается (https://twitter.com/5aelo/status/1141273394723414016), 
> что информация о первой уязвимости была направлена в Mozilla  участником 
> проекта Google Project Zero  ещё 15 апреля и 10 июня 
> была исправлена (https://hg.mozilla.org/releases/mozilla-beta/rev/109cefe117fbdd1764097e06796960082f4fee4e) 
> в бета-версии Firefox 68 (вероятно атакующие проанализировали опубликованное исправление 
> и подготовили эксплоит, воспользовавшись ещё одной уязвимостью для обхода sandbox-изоляции).

> URL: https://www.mozilla.org/en-US/firefox/67.0.4/releasenotes/ 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=50913

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру