Mozilla včera vydala novou aktualizaci Firefoxu 67.0.3. Pokud máte systém korektně nastavený, už se vám nejspíše automaticky nainstalovala, přičemž je dalším dokladem toho, proč jsou automatické aktualizace softwaru opravdu potřeba – i za cenu toho, že občas přinesou nějaké komplikace.
Verze 67.0.3 nepřináší nic nového v uživatelském rozhraní, ani žádné novinky pro vývojáře. Jejím jediným smyslem je rychlá záplata kritické bezpečnostní díry CVE-2019-11707, kterou v květnu poprvé oznámili reverzní inženýři z Googlu (Project Zero) a Coinbase Security.
Oproti jiným chybám je zajímavá tím, že ji už útočníci podle bezpečnostních expertů začali skutečně zneužívat, takže aktualizace Firefoxu je naprosto klíčová. Ostatně i proto Mozilla tuto opravu označila jako kritickou.
Mozilla chybu opravila ve Firefoxu 67.0.3 a 60.7.1 (ESR)
Zranitelnost se týká manipulace s polem v Javascriptu, konkrétně s metodou Array.pop, která odstraňuje poslední položku v poli. Metoda nebyla adekvátně ošetřena a za určitých okolností mohla způsobit pád a průnik do systému, čehož zneužívali útočníci.
Automatické aktualizace jsou klíčové i pro Chrome, Operu a další softwary, které používáme na denní bázi pro surfování na potenciálně nebezpečném webu.