CVE-2019-17026
CVE-2019-17026
En resumen
El motor de JavaScript de Firefox (IonMonkey) rastrea incorrectamente las ubicaciones de memoria al definir elementos de arrays, confundiendo diferentes tipos de datos. Esto permite que atacantes ejecuten código malicioso en tu computadora.
Detalle técnico
El compilador JIT IonMonkey exhibe análisis de alias incorrecto (CWE-843) durante escritura de elementos de array, generando confusión de tipos que permite corrupción de memoria. La vulnerabilidad es explotable mediante JavaScript malicioso en contenido web sin interacción del usuario más allá de visitar una página comprometida; la explotación exitosa habilita ejecución de código arbitrario con los privilegios del proceso Firefox.
Resumen generado y traducido por IA a partir de la descripción oficial.
Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion. We are aware of targeted attacks in the wild abusing this flaw. This vulnerability affects Firefox ESR < 68.4.1, Thunderbird < 68.4.1, and Firefox < 72.0.1.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
PoCs públicas encontradas — 4
githubgithub.com/maxpl0it/CVE-2019-17026-Exploit★ 47githubgithub.com/lsw29475/CVE-2019-17026★ 3cve_referencepacketstormsecurity.com/files/162568/Firefox-72-IonMonkey-JIT-Type-Confusion.htmlno verificadoexploitdbwww.exploit-db.com/exploits/49864no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://packetstormsecurity.com/files/162568/Firefox-72-IonMonkey-JIT-Type-Confusion.htmlhttps://bugzilla.mozilla.org/show_bug.cgi?id=1607443https://security.gentoo.org/glsa/202003-02https://usn.ubuntu.com/4335-1/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-17026https://www.mozilla.org/security/advisories/mfsa2020-03/https://www.mozilla.org/security/advisories/mfsa2020-04/