Mozilla har denne uken rettet en svært alvorlig sårbarhet (CVE-2019-11707) i Firefox 67 og Firefox ESR 60. Foreløpig har stiftelsen kommet med få detaljer om sårbarheten, men den kan få nettleseren til å krasje på en måte som trolig kan utnyttes til fjernkjøring av vilkårlig kode.
Mozilla oppgir at sårbarheten allerede blir benyttet i virkelige, rettede angrep.
Sårbarheten skal ha blitt oppdaget av Samuel Groß hos Google Project Zero, men også Coinbase Security krediteres.
Array.pop
Det skal dreie seg typeforvirringssårbarhet som utløses ved manipulering av JavaScript-objekter. Den skyldes feil i håndteringen av Array.pop-metoden.
Firefox installerer gjerne oppdateringer etter at nettleseren har blitt stengt og deretter åpnet igjen. Brukere kan framskynde oppdateringen ved å gå til menyvalget «Om Firefox» under Hjelp i menyen.
Sårbarheten er fjernet i Firefox 67.0.3 og Firefox ESR 60.7.1, samt nyere versjoner.
Leste du denne? Firefox er ikke lenger bare en nettleser. Det får konsekvenser for logoen
