ПолiтДумка

Исследователь взломал Mozilla Firefox всего за 8 секунд

23 мая
21:02 2022

Исследователь безопасности Манфред Пол (Manfred Paul) взломал Mozilla Firefox всего за 8 секунд в рамках хакерских соревнований Pwn2Own Vancouver 2022, завершившихся в прошлую пятницу.

В ходе атаки Пол использовал эксплоиты для двух ранее неизвестных уязвимостей, за что получил приз в размере $100 тыс. Позднее в тот же день он завоевал еще $50 тыс. за обнаружение ранее неизвестной уязвимости в Apple Safari.

CVE-2022-1802 – уязвимость JavaScript prototype pollution в реализации Top-Level Await. Позволяет злоумышленникам, скомпрометировавшим массив (Array) в JavaScript, выполнить код в привилегированном контексте.

CVE-2022-1529 – использование недоверенных входящих данных в индексации объектов JavaScript, что приводит к prototype pollution. Злоумышленник может отправить «сообщение родительскому процессу, содержимое которого используется для двойного индексирования в объект JavaScript». В результате это приводит к prototype pollution, как описано выше.

К счастью, Mozilla Foundation молниеносно отреагировала на открытие Пола и сразу же выпустила экстренные исправления. Поскольку браузер Firefox обновляется автоматически в фоновом режиме, патчи уже были доставлены практически всем пользователям.

Исправленные версии:

Firefox v100.0.2 для настольных компьютеров;

Firefox v100.3.0 для Android;

Firefox v91.9.1 для корпоративных клиентов с расширенной поддержкой.


Warning: count(): Parameter must be an array or an object that implements Countable in /home/politdumkakiev/public_html/wp-content/themes/legatus-theme/includes/single/post-tags.php on line 5
Share

Статьи по теме

Последние новости

36 000 графічних процесорів компанії AMD створили найбільшу модель Всесвіту

Читать всю статью

Мы в соцсетях

Наши партнеры

UA.TODAY - Украина Сегодня UA.TODAY

EA-LOGISTIC: Международные грузоперевозки – всегда своевременно и надежно!