Новый баг Firefox приводит к сбою в работе браузера и системы

Новый баг Firefox приводит к сбою в работе браузера и системы

Исследователь в области безопасности обнаружил недостаток, который приводит к сбою в работе браузера Firefox, а иногда и к сбою самой системы, в которой установлен уязвимый интернет-обозреватель.

О проблеме сообщил эксперт Сабри Хаддуш, который на днях также опубликовал информацию о новой CSS-атаке, которая приводит к сбою в работе iPhone.

Хаддуш поделился своими наблюдениями в Twitter, уточнив, что баг приводит к проблемам в работе процесса Firefox в системах macOS и Linux. Специалист прикрепил скриншот отчета о сбое в работе программы:

На системах Windows недостаток проявляет себя куда хуже — пользователям приходится осуществлять «жесткую» перезагрузку, так как операционная система полностью зависает и совершенно не реагирует на команды.

Согласно последним наблюдениям, баг присутствует в актуальной стабильной версии Firefox и версии для разработчиков. Код, доказывающий наличие бага, был опубликован (при переходе по ссылке браузер не пострадает) экспертом на GitHub.

Хаддуш недавно занялся изучением WebKit на предмет наличия в нем уязвимостей. Периодически специалист публикует свои выводы. На прошлой неделе Хаддуш Хаддуш пояснил, что сотни вложенных элементов вроде тегов <div> внутри свойства backdrop-filter в CSS могут использовать все ресурсы устройства на iOS и вызвать сбой в ядре (kernel panic).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Опасные уязвимости в трёх WordPress-плагинах затрагивают 84 000 сайтов

Специалисты по кибербезопасности обнаружили уязвимости в трёх плагинах для движка WordPress. В общей сложности эти проблемы угрожают более 83 тыс. веб-сайтов и могут использоваться для получения полного контроля над атакованными ресурсами.

Одна из уязвимостей, которой присвоили идентификатор CVE-2022-0215, представляет собой брешь класса CSRF (cross-site request forgery, «межсайтовая подделка запроса»). Она получила 8,8 балла по шкале CVSS и затрагивает три плагина:

«Уязвимость позволяет атакующим обновить настройки сайта. Для эксплуатации злоумышленникам придётся заставить администратора сайта пройти по определённой ссылке», — пишет Wordfence.

 

Корень проблемы кроется в отсутствии должной валидации при обработке AJAX-запросов. В результате условный киберпреступник может изменить значение опции «users_can_register» и установить «default_role», что даст ему полный контроль над атакуемым ресурсом.

Разработчики затронутых плагинов уже выпустили соответствующие обновления, поэтому владельцам и администраторам сайтов нужно только установить их.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru