Mozilla предупредил пользователей Firefox обновить браузер до последней версии после того, как исследователи безопасности обнаружили уязвимость, которую хакеры активно использовали в «целевых атаках» на пользователей.
Уязвимость, обнаруженная китайской компанией по обеспечению безопасности Qihoo 360, была обнаружена в своевременном компиляторе Firefox. Компилятору поручено ускорение производительности JavaScript, чтобы заставить сайты загружаться быстрее. Но исследователи обнаружили, что эта ошибка может позволить вредоносному JavaScript запускаться за пределами браузера на главном компьютере.
С практической точки зрения это означает, что злоумышленник может незаметно взломать компьютер жертвы, обманув жертву и получить доступ к веб-сайту, на котором выполняется вредоносный код JavaScript.
Но Qihoo не сказал точно, как эта ошибка использовалась, кто был злоумышленниками или кто был целью.
Уязвимости в браузерах являются популярным товаром в кругах безопасности, поскольку их можно использовать для заражения уязвимых компьютеров – часто молча и без предупреждения пользователя – и использовать для доставки вредоносных программ или вымогателей. Браузеры также являются целью для национальных штатов и правительств и их использования инструментов наблюдения, известных как методы сетевых расследований – или NIT. Эти инструменты, использующие уязвимости, использовались федеральными агентами для шпионажа и ловить преступников, Но эти инструменты вызвали недовольство сообщества безопасности, поскольку неспособность федералов раскрыть ошибки производителям программного обеспечения может привести к тому, что злоумышленники будут использовать те же уязвимости в злонамеренных целях.
Mozilla выдан совет по безопасности для Firefox 72, который отсутствовал только два дня, прежде чем была обнаружена уязвимость.
Агентство по кибербезопасности Министерства внутренней безопасности, Агентство кибербезопасности и безопасности инфраструктуры, также выпустило предупреждение безопасности, советуя пользователям обновиться до Firefox 72.0.1, который устраняет уязвимость. Было предоставлено мало информации об ошибке, только то, что ее можно использовать для «контроля над уязвимой системой».
Пользователи Firefox могут обновить свой браузер из настроек.