CVE-2019-17026

Mozilla Firefox and Thunderbird

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Mozilla Firefox and Thunderbird contain a type confusion vulnerability due to incorrect alias information in the IonMonkey JIT compiler when setting array elements.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа "путаница типов" (type confusion) в движке IonMonkey JIT-компилятора Firefox/Thunderbird. При некорректной обработке псевдонимов (alias information) во время операций с элементами массива возникает ошибка в памяти. Эксплуатация позволяет выполнить произвольный код в контексте браузера или почтового клиента, просто заставив пользователя открыть специально созданную веб-страницу или письмо.

Как исправить

Обновите браузер Firefox или почтовый клиент Thunderbird до версий, в которых уязвимость устранена.

Конкретные патчи: * Mozilla Firefox: версия 72.0.1 или выше. * Mozilla Thunderbird: версия 68.4.1 или выше.

Команды для обновления (Linux, пример для apt):

# Для Firefox (если установлен из репозиториев Mozilla или дистрибутива)
sudo apt update && sudo apt upgrade firefox

# Для Thunderbird
sudo apt update && sudo apt upgrade thunderbird

Для Windows: Установите последние обновления через встроенный механизм обновления (Help -> About) или загрузите установщик с официального сайта Mozilla. Специфический номер обновления Windows (KB) для этого CVE не выпускался.

Рекомендация: Включите автоматическое обновление в настройках приложения.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Отключите JavaScript (крайняя мера):

    • В Firefox: Настройки -> Приватность и защита -> Разрешения -> Настройки (напротив "Блокировать всплывающие окна") -> снимите галочку с "Разрешать JavaScript". Это сломает функциональность большинства сайтов.
    • В Thunderbird: Настройки -> Общие -> Конфиденциальность и защита -> Разрешения -> Настройки -> снимите галочку с "Разрешать JavaScript". Это отключит выполнение скриптов в письмах.

  2. Используйте политики ограничения функций (например, через GPO на Windows):

    • Настройте отключение JIT-компиляции JavaScript. Это можно сделать, установив в about:config параметр javascript.options.ion в значение false. Для массового развертывания используйте policies.json или групповые политики.

  3. Повышение осведомленности: Предупредите пользователей не открывать подозрительные ссылки и вложения в письмах.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей