این نقص بحرانی با شناسه "CVE-2019-17026"، ناشی از نوعی #آسیبپذیری 'type confusion vulnerability' در کامپایلر IonMonkey just-in-time (JIT) در SpiderMonkey موتور جاوااسکریپت است.
به طور کلی این نوع آسیبپذیری زمانی رخ میدهد که کد برنامه، از objectsهای ارسالی، کورکورانه و بدون بررسی نوع آنها استفاده کرده و به مهاجمان اجازه میدهد تا موجب از کار افتادن این برنامه یا اجرای کد موردنظر خود شوند.
پیش از این نیز، موزیلا نسخههای Firefox 72.0.1 و Firefox ESR 68.4.1 را جهت رفع یک آسیبپذیری در این مرورگر منتشر کرده بود.
موزیلا بدون آشکار ساختن جزئیات و نیز حملات احتمالی این نقص امنیتی اذعان داشت: "اطلاعات غلط در کامپایلر
IonMonkey JIT جهت تنظیم عناصر آرایه، میتواند علت این نوع از آسیبپذیری باشد."
این بدان معناست که این مسئله در موتور آسیبپذیر جاوااسکریپت، میتواند توسط یک مهاجم از راه دور برای فریب کاربر به بازدید از یک صفحه وب مخرب و سپس اجرای کد دلخواه خود بر روی سیستم و در چارچوب برنامه، مورد اکسپلویت قرار گیرد.
این آسیبپذیری توسط محققان امنیت سایبریِ ATA360 Qihoo به موزیلا گزارش شده است و هنوز هیچ اطلاعاتی از آنها درباره تحقیقات، یافتهها و اکسپلویت این آسیبپذیری منتشر نشده است.
اگرچه مرورگر فایرفاکس به طور پیش فرض و خودکار بروزرسانیها را اعمال میکند و پس از راهاندازی مجدد آن، نسخه جدید در دسترس میباشد، اما میتوانید از مسیر زیر نیز مرورگر خود را بروزرسانی نمایید:
Menu > Help > About Mozilla Firefox
- 7