A Mozilla Foundation három napja jelentette be biztonsági tanácsadójában a zero-day támadást. A nulladik napi támadás olyan biztonsági fenyegetést jelent, ami valamely számítógépes alkalmazás olyan sebezhetőségét használja ki, ami még nem került publikálásra, a szoftver fejlesztője nem tud róla, vagy nem érhető még el azt foltozó biztonsági javítás.

A korrekció azóta megtörtént, a Mozilla január 8.-án adta ki a Firefox v72.0.1-et, a böngésző új verzióját, melyben már kijavították a sérülékenységet, mely az elmúlt napokban szabad utat kínált a kiberbűnözők számára.

A hiba az IonMonkeyt érintette, amely a JavaSrcipt JIT (Just-In-Time) fordítója a SpiderMonkey, vagyis a JavaScript motorja számára. A sérülékenységet típus kényszerítési (típus tévesztéses) hibaként kategorizálták, vagyis olyan memória bugként, melyben a memória először egy bizonyos típusként kerül azonosításra, de később, a manipuláció során, átvált egy másik típusra, kiszámíthatatlan következményeket eredményezve az információfeldolgozás folyamata során, melyet a hackerek kihasználhatnak ártalmas kódok feltöltésére.

„Ha a felhasználót sikerült becsapni és rávenni, hogy megnyisson egy speciálisan az átveréshez tervezett oldalt, a támadó kihasználhatta őket, a szolgáltatás megtagadásával, érzékeny adatok begyűjtésével, a Tartalom Biztonsági Szabályok áthágásával, cross-site scripting (XSS) támadással, vagy tetszőleges kód futtatásával.”

– jelentették be az Ubuntu Firefox-szal kapcsolatos biztonsági tanácsadójában. A hibát a kínai Qihoo 360 biztonsági cég fedezte fel, de részleteket azzal kapcsolatban, hogy pontosan kik lehetnek a támadók, és kik voltak a célpontok, nem árultak el. A Qihoonak a múltbeli adatvédelemmel, illetve a magánélet védelmével kapcsolatos szabálysértései miatt nincs túl jó híre a felhasználók körében, mikor kiderült, hogy a Samsung telefonjainak rendszere kapcsolatban áll a céggel, az Androidos közösség felháborodottan reagált, attól tartva, hogy valamilyen appot telepítettek a beleegyezésük nélkül. Mint kiderült, ilyesmiről szó sincs, a Samsung csak a Qihoo adatbázisát használja fel a vírusok szűrésére.

A Firefox új, immár biztonságos verzióját a beállítások menüből telepíthetjük. A 72.0.1. újonnan bevezetett feature-e, mely növeli az adatvédelmi biztonságot, hogy tiltja harmadik fél számára az ujjlenyomatozást. A fingerprinting scriptek begyűjtenek minden adatot, úgymint az operációs rendszer típusa, a számítógép konfigurációja, a képernyő felbontása, vagy akár a használt betűkészlet, majd az adatok alapján azonosítják a felhasználót a későbbi böngészés során. A Firefox mostantól blokkolja ezeket a doméneket, az ETP, vagy Enhanced Data Protection bővítésével.

(Forrás: ZDNet, Fotó: Flickr/sandeepkumar, Flickr/kengz)