Menu fechado

Mozilla diz que devido um novo bug de segurança, Firefox 72 está sob ataque ativo

Microsoft Browser Dethroned in Europe by Firefox

A Mozilla alertou os usuários do Firefox a atualizar seu navegador para a versão mais recente depois que os pesquisadores de segurança descobriram uma vulnerabilidade que os hackers estavam explorando ativamente em “ataques direcionados” contra usuários.

A vulnerabilidade, encontrada pela empresa de segurança chinesa Qihoo 360, foi encontrada no compilador just-in-time do Firefox. O compilador tem a tarefa de acelerar o desempenho do JavaScript para acelerar o carregamento dos sites. Mas os pesquisadores descobriram que o bug pode permitir que JavaScript malicioso seja executado fora do navegador no computador host.

Em termos práticos, isso significa que um invasor pode invadir silenciosamente o computador da vítima, enganando-a para acessar um site executando código JavaScript malicioso.

Mas o Qihoo não disse exatamente como o bug foi explorado, quem eram os atacantes ou quem foi o alvo.

As vulnerabilidades do navegador são pontos importantes de segurança, pois podem ser usadas para infectar computadores vulneráveis – geralmente silenciosamente e sem que o usuário perceba – e podem ser usadas para fornecer malware ou ransomware. Os navegadores também são um alvo para estados e governos e para o uso de ferramentas de vigilância, conhecidas como técnicas de investigação de redes – ou NITs. Essas ferramentas de exploração de vulnerabilidades foram usadas por agentes federais para espionar e capturar criminosos. Mas essas ferramentas atraíram a ira da comunidade de segurança, porque a falha dos federais em divulgar os bugs aos fabricantes de software, pode resultar em hackers explorando as mesmas vulnerabilidades para fins maliciosos.

A Mozilla emitiu o aviso de segurança para o Firefox 72, que havia sido lançado há apenas dois dias, antes que a vulnerabilidade fosse encontrada.

A unidade de consultoria cibernética da Homeland Security, a Cybersecurity and Infrastructure Security Agency, também emitiu um aviso de segurança, aconselhando os usuários a atualizar para o Firefox 72.0.1, que corrige a vulnerabilidade. Poucas informações foram fornecidas sobre o bug, apenas que ele poderia ser usado para “assumir o controle de um sistema afetado”.

via TechCrunch