Mozilla dicht kritiek lek in Firefox

Mozilla beoordeelt de fout in een security advisory als kritiek. Ook zegt het bedrijf op de hoogte te zijn van "gerichte aanvallen in het wild" waarbij de fout misbruikt wordt, schrijft Ars Technica. Er zijn echter geen verdere details over deze aanvallen bekend. Mozilla en het Chinese Qihoo 360 - dat de fout ontdekte - reageerden niet op vragen van Ars Technica.

De kwetsbaarheid in kwestie is een zogeheten 'type confusion'. Dit is een fout die ervoor kan zorgen dat data naar locaties in het geheugen kan worden geschreven die normaal gesproken ontoegankelijk zijn.

Ook kan de fout ervoor zorgen dat data in deze locaties uitgelezen kan worden. In dat geval kunnen aanvallers mogelijk geheugenlocaties vinden waar malafide code opgeslagen staat. Daardoor kunnen diverse beveiligingsmaatregelen omzeild worden. Daarnaast kan het uitlezen van dergelijke data voor crashes zorgen. 

Twee patches in twee dagen

Versie 72.0.1 van Firefox, waarin het lek gedicht wordt, is de tweede update in twee dagen voor de browser. Maandag verscheen versie 72 van de browser, waarin elf andere kwetsbaarheden werden gedicht. Zes van die kwetsbaarheden zijn ernstig. Met drie van de fouten konden aanvallers bijvoorbeeld malafide code uitvoeren op getroffen computers.