Firefox избавился от критической уязвимости

Обнаружить уязвимость удалось известному разработчику Йоханну Хофману. Брешь получила идентификатор CVE-2018-5124. Она представляет опасность для пользователей, работающих со всеми версиями «огненного лиса», начиная с Firefox 56 и заканчивая Firefox 58. А вот пользователям Firefox для мобильной платформы Android и версии Firefox 52 ESR можно ничего не бояться, так как в них эта уязвимость не обнаружена.

Из отчета специалиста следует, что проблема кроется в компоненте Chrome. Не стоит путать его с браузером Google Chrome. Этот компонент уже давно входит в состав Firefox и появился в нем еще задолго до того, как вышел веб-обозреватель с таким же названием. Если копнуть немного глубже и попытаться разобраться, за что отвечает этот компонент, то можно узнать, что он используется в Firefox для обеспечения нормальной работы индикаторов состояния, панели инструментов, строки заголовков окна и прочих элементов UI.

Хофман пояснил, что во время веб-серфинга не происходит отделение этих элементов от кода самих страниц. Это позволяет злоумышленникам получать доступ к сайтам и размещать на них вредоносный код, который как раз предназначается для этих же элементов Firefox UI. Хофман утверждает, что благодаря несложным манипуляциям злоумышленник может получить привилегии пользователя и добиться выполнения произвольного кода. Правда для этого ему придется любым доступным образом заставить свою жертву кликнуть по нужной ссылке и перейти на зараженный сайт. Если же у пострадавшего и вовсе были высокие привилегии в системе, то злоумышленник может добиться компрометации всего устройства.

Компания Mozilla уже позаботилась об устранении этой опасной уязвимости и выпустила обновленную версию браузера Firefox под номером 58.0.1. Эксперты предупреждают, что описанную уязвимость очень скоро возьмут на вооружение хакеры, поэтому пользователям лучше не медлить с установкой обновлений.