Обновление Firefox 72.0.1 и 68.4.1 с устранением критической 0-day уязвимости

Опубликованы экстренные корректирующие выпуски Firefox 72.0.1 и 68.4.1, в которых устранена критическая уязвимость (CVE-2019-17026), позволяющая организовать выполнение кода при открытии определённым образом оформленных страниц. Опасность усугубляется тем, что ещё до внесения исправления зафиксированы факты совершения атак с использованием данной уязвимости и в руках злоумышленников находится рабочий эксплоит. Всем пользователям Firefox рекомендуется срочно обновить браузер, а пользователям Tor Browser необходимо дождаться выхода обновления 9.0.4, которое будет опубликовано в течение нескольких часов.

Следы совершении атак с использование 0-day уязвимости были обнаружены китайским производителям антивирусного ПО Qihoo 360. Проблема вызвана некорректным определением типа элементов массива при выполнении операций StoreElementHole и FallibleStoreElement в объектном коде, скомпилированном JIT-движком IonMonkey. Подробности пока не раскрываются, но для анализа доступен код патча.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52155