Предупреждение об уязвимости Firefox JavaScript для пользователей криптовалют

Firefox назначил критическую или высокоуровневую угрозу уязвимости, обнаруженной группой безопасности Coinbase и исследователем безопасности Google  Сэмюэлем Д. Гроссом. Атака с перемешиванием использовалась в прошлом для атаки пользователей криптовалюты.

Уязвимость нулевого дня (также известная как 0-дневная) — это уязвимость программного обеспечения, которая неизвестна или не устранена теми, кто заинтересован в смягчении этой уязвимости (включая поставщика целевого программного обеспечения). Пока уязвимость не будет устранена, хакеры могут использовать ее для негативного воздействия на компьютерные программы, данные, дополнительные компьютеры или сеть.

Зарегистрированная экспертами под кодовым номером CVE-2019–11707, аналогичная проблема возникла в браузере Mozilla Firefox еще в 2016 году. В публикации на веб-сайте Firefox говорилось:

«УЯЗВИМОСТЬ, ПРИВОДЯЩАЯ К ПУТАНИЦЕ ТИПОВ, МОЖЕТ ВОЗНИКАТЬ ПРИ МАНИПУЛИРОВАНИИ ОБЪЕКТАМИ JAVASCRIPT ИЗ-ЗА ПРОБЛЕМ В ARRAY.POP. ЭТО МОЖЕТ ПРИВЕСТИ К АВАРИЙНОМУ ЗАВЕРШЕНИЮ. МЫ ЗНАЕМ О ЦЕЛЕНАПРАВЛЕННЫХ АТАКАХ В ДИКОЙ ПРИРОДЕ, ЗЛОУПОТРЕБЛЯЮЩИХ ЭТИМ НЕДОСТАТКОМ».

В результате критической угрозы всем пользователям Firefox было рекомендовано обновить ее до последней обновленной версии Mozilla Firefox 67.0.3, в которой проблема была исправлена. В таких ситуациях уязвимость, как правило, скрывается от общественности и исправляется ​​непосредственно перед ее публичным опубликованием из-за ее потенциального вреда.

Чтобы улучшить безопасность в криптосфере, Firefox недавно объявил, что все будущие версии его веб-браузера будут автоматически блокировать вредоносное ПО. Цель состоит в том, чтобы нацелиться на негативные последствия непроверенного онлайн-отслеживания. Будущие веб-браузеры будут защищать пользователей по умолчанию от этого и предлагать пользователям более расширенный контроль над тем, какая их информация передается третьим лицам.