Уязвимость эксплуатируется в реальных атаках, однако подробностей о них Mozilla не раскрывает.
В воскресенье, 8 января, компания Mozilla выпустила исправление для уязвимости нулевого дня в своем браузере Firefox. Известно, что уязвимость активно эксплуатируется в реальных атаках, однако подробностей о них Mozilla не раскрывает.
Проблема затрагивает JavaScript JIT-компилятор IonMonkey для SpiderMonkey, главного компонента ядра Firefox, проводящего операции с JavaScript (проще говоря, для JavaScript-движка браузера), и была исправлена в версиях Firefox 72.0.1 и Firefox ESR 68.4.1.
Проблема представляет собой уязвимость несоответствия используемых типов данных (type confusion), когда записываемые в памяти данные изначально распределяются как один тип данных, однако затем в ходе манипуляций переключаются на другой тип, что приводит к неожиданным последствиям после обработки данных, включая выполнение кода на уязвимой системе.
Уязвимость ( CVE-2019-17026 ) была обнаружена специалистами китайской компании Qihoo 360. По их словам, активно эксплуатируемая в атаках уязвимость нулевого дня также была обнаружена в Internet Explorer. Исследователи сообщили об этом в Twitter, но затем твит был удален. Qihoo 360 никак не комментирует ситуацию, а Microsoft не выпускает никаких внеплановых патчей.