SK-CERT Bezpečnostné varovanie V20190619-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
9.6
Identifikátor
Mozilla Firefox kritická zero-day zraniteľnosť
Popis
Spoločnosť Mozilla vydala bezpečnostné aktualizácie, ktoré opravujú kritickú zero-day zraniteľnosť v internetových prehliadačoch Firefox a Firefox ESR.
Bezpečnostná zraniteľnosť spočíva v nesprávnej manipulácii JavaScript objektov v rámci funkcie Array.pop a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom podvrhnutia špeciálne upravených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.
Dátum prvého zverejnenia varovania
18.06.2019
CVE
CVE-2019-11707
CVE
Zasiahnuté systémy
Mozilla Firefox staršie ako 67.0.3
Mozilla Firefox ESR staršie ako 60.7.1
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/
https://www.cisecurity.org/advisory/a-vulnerability-in-mozilla-firefox-could-allow-for-arbitrary-code-execution_2019-067/
https://thehackernews.com/2019/06/mozilla-firefox-patch-update.html
https://gbhackers.com/firefox-67-0-3/amp/
https://www.theregister.co.uk/2019/06/18/firefox_zero_day_patch/

« Späť na zoznam