Cyberthreat.id - Dua hari setelah merilis Firefox 72, Mozilla mengeluarkan pembaruan untuk menambal cacat zero-day yang kritis. Masalahnya pada CVE-2019-17026, jenis bug yang memengaruhi IonMonkey JavaScript Just-in-Time (JIT) FireFox.

Demikian disampaikan oleh sebuah penasehat di situs web Mozilla, sebagaimana dipublikasikan oleh Naked Security, Kamis (9 Januari 2020).

Sederhananya, Naked Security menambahkan, kompiler JIT mengambil kode sumber JavaScript, seperti yang akan Anda temukan di sebagian besar halaman web hari ini, dan mengubahnya menjadi kode komputer yang dapat dieksekusi, sehingga JavaScript berjalan langsung di dalam Firefox seolah-olah itu adalah bagian bawaan dari aplikasi.

Ini biasanya meningkatkan kinerja, seringkali terasa.

Ironisnya, sebagian besar aplikasi modern menerapkan apa yang disebut DEP(Data Execution Prevention) mitigasi ancaman yang membantu menghentikan penjahat dari mengirimkan apa yang tampak seperti data bersih tetapi kemudian menipu aplikasi untuk menjalankan data tersebut seolah-olah itu adalah program yang sudah dipercaya. (Kode yang disamarkan sebagai data dikenal dalam jargon sebagai shellcode)

DEP berarti bahwa begitu sebuah program berjalan, data yang digunakannya - terutama jika itu berasal dari sumber yang tidak dipercaya - tidak dapat diubah menjadi kode pelaksana, baik secara sengaja atau tidak.

Tetapi kompiler JIT harus membebaskan diri dari kontrol DEP, karena mengubah data menjadi kode dan menjalankannya persis seperti yang mereka lakukan - dan itulah sebabnya para penjahat suka menyelidiki kekurangan di sistem JIT.

Bug ini dilaporkan ke Mozilla oleh perusahaan keamanan China Qihoo 360, tetapi kabar buruknya adalah bahwa penyerang selangkah lebih maju dari Mozilla, yang mengatakan: Kami menyadari serangan yang ditargetkan di alam liar menyalahgunakan kelemahan ini.

Belum ada yang terungkap tentang sifat serangan di luar pernyataan itu.

Terakhir kali Mozilla menambal zero-day adalah Juni lalu ketika memperbaiki dua dalam satu minggu yang digunakan untuk menargetkan pertukaran mata uang kripto.

Apa yang harus dilakukan?

Naked Security menyarankan jika Anda menggunakan versi reguler Firefox, pastikan Anda memiliki versi 72.0.1.

Firefox Anda mungkin telah diperbarui secara otomatis, tetapi perlu diperiksa.

Klik Help → About Firefox (atau Firefox → About Firefox pada Mac), di mana Anda akan melihat nomor versi saat ini dan ditawarkan pembaruan jika Anda masih ketinggalan.

Beberapa distro Linux dan banyak bisnis tetap menggunakan Extended Support Release (ESR) Firefox karena mendapat perbaikan keamanan pada kecepatan yang sama dengan versi biasa, tetapi tidak memaksa Anda untuk mengambil fitur baru di setiap pembaruan.

Jadi jika Anda adalah pengguna ESR, Anda perlu memperbarui ke 68.4.1esr untuk mendapatkan tambalan ini.

Catatan untuk pengguna Tor

Yang penting, peramban yang dilengkapi dengan Tor, bundel perangkat lunak peningkat privasi yang membantu Anda menjelajah tanpa dilacak, adalah bentukan khusus ESR Firefox.

Sayangnya, Tor hanya memperbarui dalam 24 jam terakhir ke versi 68.4.0esr kode Firefox, dan belum mendapatkan pembaruan 68.4.1esr nya.

Situs Tor saat ini [2020-01-09T12: 00Z] mengatakan, "kami berencana untuk merilis versi 9.0.4 dari Browser Tor segera mengambil perbaikan ini," jadi tetap awasi update - serangan zero-day yang bekerja melawan peramban di Tor dapat membatalkan anonmyity dan privasi yang membuat Anda memilih Tor di tempat pertama.

Sementara itu, Anda dapat mengurangi risiko di Tor dengan mematikan sistem JM IonMonkey secara bersamaan - letakkan: config di bilah alamat, temukan entri javascript.options.ion dan ubah dari true (default) ke false .

Ini mungkin memperlambat beberapa penelusuran Anda sedikit, tetapi itu melompati proses kompilasi JM IonMonkey dan karenanya menghindari bug ini.[]