Mozilla发布了Firefox网页浏览器的更新，修复两个超危释放后重用漏洞，这两个漏洞已在攻击中遭到利用。

其中一个漏洞编号为CVE-2020-6819，是一个释放后重用漏洞，源于在特定条件下运行nsDocShell析构函数触发竞争条件。Tenable公司的研究人员分析了该补丁，认为该问题的存在“是由于mContentViewer未正确释放。”

第二个漏洞编号为CVE-2020-6820，也是一个释放后重用漏洞，源于对ReadableStream的处理触发竞争条件。

随着Firefox 74.0.1和Firefox ESR 68.6.1的发布，这两个漏洞得到了修复。Sophos公司的Paul Ducklin认为这两个漏洞可能自2019年7月就已经存在了。

Ducklin解释道，“鉴于最新版本和ESR版本都需要修复该漏洞，我们可以假定，至少自2019年7月68版本首次出现以来，Firefox代码库中就已存在该漏洞，或该漏洞是在68.0版本发布后作为某个安全补丁的副作用而出现的。”

Mozilla致谢了报告漏洞的研究人员Francisco Alonso和Javier Marcos。Alonso赞扬了Mozilla处理报告的方式，同时表示其他浏览器可能也受到影响。

美国网络安全与基础设施安全局（CISA）建议用户尽快更新Firefox。

本文源自Security Week；转载请注明出处。