Группа реагирования на компьютерные чрезвычайные ситуации во Франции CERT-FR опубликовала уведомления в отношении множества уязвимостей, затрагивающих, в частности, продукты Mozilla, как описано в бюллетенях по безопасности mfsa2024-43 и mfsa2024-44. Эти уязвимости, как сообщается, в основном касаются более ранних версий браузеров Firefox и Firefox ESR, а также почтового клиента Thunderbird. Выявленные недостатки позволяют использовать несколько типов атак:
- злоумышленник может выполнить вредоносный код на компьютере жертвы удаленно без взаимодействия с пользователем;
- злоумышленники могут вывести приложения Mozilla из строя;
- эти уязвимости могут позволить вредоносным сценариям обойти защиты, обычно устанавливаемые браузером.
Затронутые продукты следующие: Firefox ESR версии до 128.2 Версии Firefox старше 130 Версии Thunderbird до 128.2 Крайне важно, чтобы пользователи и администраторы этих приложений немедленно обновили их, чтобы устранить эти уязвимости в безопасности.
Mozilla уже выпустила исправления для этих уязвимостей, доступные по следующим ссылкам:
-бюллетень по безопасности Mozilla mfsa2024-43,
- бюллетень по безопасности Mozilla mfsa2024-44 .
Пользователям рекомендуется обновить свое программное обеспечение до последней доступной версии, чтобы избежать какой-либо эксплуатации.
Для получения более подробной технической информации можно ознакомиться со следующими ссылками на CVE:
Также CERT-FR предупредила о безопасности под номером CERTFR-2024-AVI-0766, где речь идет о нескольких критических уязвимостях, выявленных в браузере Google Chrome и основанных на бюллетене по безопасности, выпущенном Google 10 сентября 2024 года. Хотя конкретные детали рисков не раскрываются полностью издателем, очевидно, что эти уязвимости могут позволить злоумышленникам использовать значительные уязвимости в устаревших версиях браузера.
Версии Google Chrome, затронутые этими уязвимостями:
- для Linux: версии до 128.0.6613.137
- для Windows и Mac: версии до 128.0.6613.137/.138
Google уже выпустил исправления для этих уязвимостей. Пользователям предлагается ознакомиться с бюллетенем по безопасности, чтобы загрузить необходимые обновления:
Бюллетень по безопасности Google Chrome от 10 сентября 2024 г.
Для получения более подробной технической информации можно ознакомиться со следующими ссылками на CVE:
Еще одно предупреждение CERT-FR касается запрета на использование Microsoft Edge без обновления. Обнаружена новая критическая уязвимость в браузере Microsoft Edge, которая обусловила предупреждение экспертов по кибербезопасности. Этот недостаток безопасности может позволить злоумышленникам получить удаленный контроль над уязвимой системой.
Уязвимость, обозначенная кодом CERTFR-2024-AVI-0721, а также отслеживаемая под кодом CVE CVE-2024-38207, была впервые обнаружена в бюллетене по безопасности Microsoft. Открытие произошло в результате обычной проверки обновлений безопасности, проводимой командами Microsoft. Использование этого недостатка позволило выполнять произвольный код удаленно, что превратило бы любой компьютер, использующий не обновленную версию Edge, в потенциальную цель для киберпреступников. Это касается версий Microsoft Edge более ранних, чем 128.0.2739.42.
Microsoft немедленно отреагировала, выпустив исправляющее обновление, которое теперь доступно. Чтобы получить доступ к техническим сведениям и загрузить необходимое исправление, пользователи могут обратиться к официальному бюллетеню по безопасности. Указывается, что пользователи Microsoft Edge должны действовать быстро, чтобы применить необходимые исправления и избежать потенциальных рисков кибератак, использующих этот недостаток.