CVE-2019-17026
CVE-2019-17026
Em resumo
O mecanismo de compilação JavaScript do Firefox (IonMonkey) rastreia incorretamente localizações de memória ao definir elementos de arrays, confundindo diferentes tipos de dados. Isso permite que atacantes executem código malicioso no seu computador.
Detalhe técnico
O compilador IonMonkey JIT apresenta análise de alias incorreta (CWE-843) durante escrita de elementos de array, levando a confusão de tipos que permite corrupção de memória. A vulnerabilidade é explorável através de JavaScript malicioso em conteúdo web sem interação do usuário além de visitar uma página comprometida; exploração bem-sucedida habilita execução de código arbitrário com privilégios do processo Firefox.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion. We are aware of targeted attacks in the wild abusing this flaw. This vulnerability affects Firefox ESR < 68.4.1, Thunderbird < 68.4.1, and Firefox < 72.0.1.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
PoCs públicas encontradas — 4
githubgithub.com/maxpl0it/CVE-2019-17026-Exploit★ 47githubgithub.com/lsw29475/CVE-2019-17026★ 3cve_referencepacketstormsecurity.com/files/162568/Firefox-72-IonMonkey-JIT-Type-Confusion.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/49864não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://packetstormsecurity.com/files/162568/Firefox-72-IonMonkey-JIT-Type-Confusion.htmlhttps://bugzilla.mozilla.org/show_bug.cgi?id=1607443https://security.gentoo.org/glsa/202003-02https://usn.ubuntu.com/4335-1/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-17026https://www.mozilla.org/security/advisories/mfsa2020-03/https://www.mozilla.org/security/advisories/mfsa2020-04/