Firefox corrige duas falhas zero-day descobertas em evento hacking
A Mozilla confirmou ter lançado uma nova atualização para o Firefox, focada em corrigir duas vulnerabilidades zero-day, que afetam o navegador e que foram descobertas durante o evento Pwn2Own Vancouver 2024.
Manfred Paul (@_manfp) recebeu de recompensa 100.000 dólares por ter descoberto uma falha zero-day no Firefox, que poderia permitir aos atacantes executarem remotamente código potencialmente malicioso nos sistemas, e outra que poderia permitir a código escapar do ambiente “sandbox” que é criado nos processos do navegador, protegendo o sistema base.
A primeira falha, se explorada, pode permitir que código malicioso seja executado nos sistemas através do processo do navegador em desktop. Esta falha é particularmente grave, por permitir que código fosse executado indiscriminadamente no sistema.
Já a segunda falha contorna as proteções implementadas no navegador, para evitar que conteúdo malicioso fosse executado nos sistemas.
A Mozilla corrigiu ambas as falhas com a nova atualização do Firefox 124.0.1 e Firefox ESR 115.9.1, tanto na versão desktop como mobile do navegador. As falhas foram corrigidas em menos de 24 horas depois de terem sido reveladas pelo investigador de segurança no evento Pwn2Own.