Mozilla修复遭到攻击利用的两个Firefox漏洞
Mozilla发布了Firefox网页浏览器的更新,修复两个超危释放后重用漏洞,这两个漏洞已在攻击中遭到利用。
其中一个漏洞编号为CVE-2020-6819,是一个释放后重用漏洞,源于在特定条件下运行nsDocShell析构函数触发竞争条件。Tenable公司的研究人员分析了该补丁,认为该问题的存在“是由于mContentViewer未正确释放。”
第二个漏洞编号为CVE-2020-6820,也是一个释放后重用漏洞,源于对ReadableStream的处理触发竞争条件。
随着Firefox 74.0.1和Firefox ESR 68.6.1的发布,这两个漏洞得到了修复。Sophos公司的Paul Ducklin认为这两个漏洞可能自2019年7月就已经存在了。
Ducklin解释道,“鉴于最新版本和ESR版本都需要修复该漏洞,我们可以假定,至少自2019年7月68版本首次出现以来,Firefox代码库中就已存在该漏洞,或该漏洞是在68.0版本发布后作为某个安全补丁的副作用而出现的。”
Mozilla致谢了报告漏洞的研究人员Francisco Alonso和Javier Marcos。Alonso赞扬了Mozilla处理报告的方式,同时表示其他浏览器可能也受到影响。
美国网络安全与基础设施安全局(CISA)建议用户尽快更新Firefox。
本文源自Security Week;转载请注明出处。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐