Zero day zraniteľnosti v prehliadači Firefox
Spoločnosť Mozilla vydala bezpečnostné aktualizácie na opravu dvoch zero-day zraniteľností vo webovom prehliadači Firefox. Zraniteľnosti boli objavené počas hackerskej súťaže Pwn20wn Vancouver 2024. Na obe zraniteľnosti poukázal výskumník Manfred Paul.
Zraniteľné systémy:
- Firefox < 124.0.1 a Firefox ESR < 115.9.1
Opis činnosti:
CVE-2024-29944 (Firefox a Firefox ESR)
Zero-day zraniteľnosť CVE-2024-29944 umožňuje útočníkovi zvýšenie oprávnení a vykonanie ľubovoľného kódu JavaScript v nadradenom procese. Chyba neovplyvňuje mobilné verzie Firefoxu.
CVE-2024-29943 (Firefox)
Zraniteľnosť CVE-2024-29943 sa týka obchádzania kontroly v rozsahu pamäte objektov JavaScript a to útočníkovi umožňuje čítať alebo zapisovať mimo povolené hodnoty. Úspešné zneužitie umožňuje spustenie ľubovoľného kódu.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Spustenie ľubovoľného kódu
- Zvýšenie oprávnení
Odporúčania:
Bezodkladná aktualizácia Firefox na verziu 124.0.1, Firefox ESR na verziu 115.9.1.
Odkazy:
https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/#CVE-2024-29943
https://www.mozilla.org/en-US/security/advisories/mfsa2024-16/