Firefox bir hafta ichida ikkinchi nol kunlik zaiflikni tuzatadi
Muammo hujumlarda qo’llanila boshlanganida, avvalroq yamalgan zaiflik bilan birga paydo bo’ldi.
Bu hafta Firefox brauzerida ikkinchi nol kunlik zaiflik tuzatildi. CVE-2019-11708 sifatida aniqlangan muammo avval tuzatilgan turdagi chalkashlik zaifligi (CVE-2019-11707) bilan bog‘liq bo‘lgan sinov muhitini chetlab o‘tish zaifligidir. CVE-2019-11708 tajovuzkorga jabrlanuvchini zararli veb-saytga jalb qilish orqali uning tizimidagi ixtiyoriy kodni masofadan turib bajarishga imkon beradi. Mozilla xavfsizlik boʻyicha maslahatiga koʻra, “Prompt:Open IPC xabarlarini bola va ota-ona jarayoni oʻrtasidagi parametrlar yetarlicha tekshirilmaganligi sababli, sinov muhitidan tashqaridagi ota-ona jarayoni buzilgan bolalar jarayoni tomonidan tanlangan veb-kontentni ochishi mumkin”, deyiladi Mozilla xavfsizlik maslahatiga koʻra.
Shu haftada tuzatilgan birinchi zaiflik haqida shu yilning aprel oyida Google Project Zero tadqiqotchisi ishlab chiqaruvchiga xabar bergan edi. Biroq, Mozilla ikkinchi masala haqida faqat o’tgan hafta bilib oldi, kiberjinoyatchilar uni birinchi bo’lib Coinbase kriptovalyuta platformasi foydalanuvchilariga hujum qilish bilan birgalikda ishlata boshladilar.
Xavfsizlik bo’yicha tadqiqotchi Patrik Uordl ham macOS foydalanuvchilarini nishonga olish uchun birinchi zaiflikdan foydalangan holda alohida kampaniyani aniqladi.
Kiberjinoyatchilar zaiflikni o‘zlari aniqladimi va hujumlar shunchaki hisobot e’lon qilingan vaqtga to‘g‘ri keldimi yoki ular qandaydir tarzda hisobotni qo‘llariga olganlaridan keyin undan foydalanganmi, buni aytish qiyin.
Yuqorida qayd etilgan ikkala zaiflik Firefox 67.0.4 va Firefox ESR 60.7.2 da tuzatilgan. Firefox-ga asoslangan Tor brauzerida birinchi muammo 8.5.2 versiyasida tuzatildi. Tez orada ikkinchi xatoni tuzatuvchi yana bir yangilanish kutilmoqda.
