Команда Coinbase Security и исследователь проблем безопасности Google Сэмуел Д. Гросс обнаружили уязвимость нулевого дня в популярном браузере Mozilla Firefox, которая может использоваться для осуществления так называемой атаки смешения типов с помощью объектов Javascript.
Данный эксплойт был зарегистрирован экспертами под кодовым номером CVE-2019–11707. Известно, что в реальных условиях он уже использовался для осуществления атак на пользователей криптовалют.
«Уязвимость может позволить вызвать пригодный для эксплуатации злоумышленником сбой. Нам известно о направленных атаках на практике, где использовалась эта уязвимость», – говорится в публикации на сайте Firefox.
Уязвимостями нулевого дня называют критические проблемы в безопасности систем, информация о которых становится известна третьим лицам ещё до выпуска исправления разработчиками, из-за чего у последних имеется в запасе буквально 0 дней для устранения дефекта.
Firefox присвоил этой уязвимости критический или высший уровень угрозы: «Критическая угроза – Уязвимость может использоваться для запуска кода злоумышленника и установки программного обеспечения без участия пользователя помимо обычного использования браузера».
В последний раз проблема подобного уровня обнаруживалась в Firefox в 2016 году. Большая часть информации о самой уязвимости скрыта от широкой общественности – вероятно, из-за сохраняющейся потенциальной опасности.
Во вторник состоялся релиз обновлённой версии Mozilla Firefox 67.0.3, в которой данная проблема была устранена. Пользователям криптовалют настоятельно рекомендуется обновиться до актуальной версии.