Исследователь взломал Mozilla Firefox всего за 8 секунд
В атаке использовались эксплоиты для двух ранее неизвестных уязвимостей.
Исследователь безопасности Манфред Пол (Manfred Paul) взломал Mozilla Firefox всего за 8 секунд в рамках хакерских соревнований Pwn2Own Vancouver 2022, завершившихся в прошлую пятницу.
В ходе атаки Пол использовал эксплоиты для двух ранее неизвестных уязвимостей, за что получил приз в размере $100 тыс. Позднее в тот же день он завоевал еще $50 тыс. за обнаружение ранее неизвестной уязвимости в Apple Safari.
CVE-2022-1802 – уязвимость JavaScript prototype pollution в реализации Top-Level Await. Позволяет злоумышленникам, скомпрометировавшим массив (Array) в JavaScript, выполнить код в привилегированном контексте.
CVE-2022-1529 – использование недоверенных входящих данных в индексации объектов JavaScript, что приводит к prototype pollution. Злоумышленник может отправить «сообщение родительскому процессу, содержимое которого используется для двойного индексирования в объект JavaScript». В результате это приводит к prototype pollution, как описано выше.
К счастью, Mozilla Foundation молниеносно отреагировала на открытие Пола и сразу же выпустила экстренные исправления. Поскольку браузер Firefox обновляется автоматически в фоновом режиме, патчи уже были доставлены практически всем пользователям.
Firefox v100.0.2 для настольных компьютеров;
Firefox v91.9.1 для корпоративных клиентов с расширенной поддержкой.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!