CVE-2019-11707

Суть уязвимости

Уязвимость типа "путаница типов" (type confusion) в движке JavaScript (SpiderMonkey) в функциях обработки массивов, таких как Array.pop. Злоумышленник может создать специальный веб-сайт или отправить электронное письмо с вредоносным JavaScript-кодом. При посещении такой страницы или просмотре письма в Thunderbird, уязвимый код может привести к повреждению памяти, вызвать краш приложения и потенциально выполнить произвольный вредоносный код на компьютере пользователя.

Как исправить

Необходимо обновить браузер Firefox и/или почтовый клиент Thunderbird до версий, в которых уязвимость устранена.

• Firefox: до версии 68.0 или ESR 60.9.
• Thunderbird: до версии 60.9.

Для Linux (Debian/Ubuntu и производные):

sudo apt update
sudo apt install --only-upgrade firefox thunderbird

Для Windows: * Обновление происходит автоматически через встроенную систему. Принудительно проверить можно через меню Справка → О Firefox / О Thunderbird. * Номер обновления безопасности: MSFA-2019-0013. * Можно загрузить установщик с официального сайта mozilla.org.

Для macOS: * Обновление через меню Firefox → О Firefox или через App Store.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

• Отключите JavaScript в браузере и почтовом клиенте:

  • В Firefox: введите about:config в адресной строке, найдите javascript.enabled и установите значение в false. Внимание: это сломает функциональность большинства современных сайтов.
  • В Thunderbird: Настройки → Дополнительные → Общие → Конфигурация редактора.... Создайте новый логический параметр javascript.enabled со значением false.

• Используйте WAF/Прокси: Настройте корпоративный веб-прокси или межсетевой экран (WAF) на блокировку известных вредоносных доменов и скриптов, эксплуатирующих эту уязвимость.

• Ограничьте использование: Временно ограничьте использование уязвимых версий Firefox и Thunderbird для посещения непроверенных веб-сайтов и открытия HTML-писем из ненадежных источников.