freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

Mozilla官方火速修复Pwn2Own比赛上公开的火狐浏览器漏洞
2015-03-25 15:42:22

3月18日,全球顶级黑客大赛Pwn2Own2015在加拿大温哥华拉开战幕,各路大神各显神通,Mariusz Mlynski在极短的时间内攻破了火狐浏览器,获得30000美元的巨额奖金。而Mozilla官方在比赛结束之后立即开发补丁,于昨天发布的Firefox 36中修复了此次比赛中公布的2个高危漏洞。

漏洞一

Mozilla定义第一个漏洞为代码执行漏洞。根据安全研究人员ilxu1a的报告,火狐浏览器JavaScript just-in-time compilation (JIT)特性中存在漏洞,该漏洞可被利用于重新读写存储器上的内容,进而在本地系统上执行任意代码。

漏洞二

第二个漏洞是一高危权限提升漏洞,由Mariusz Mlynski发现,编号CVE-2015-0818。

浏览器在处理SVG格式文件的过程中,攻击者可以利用该漏洞绕过同源策略的防护,从而在特权文本中执行任意脚本。

Mlynski在542秒内成功拿下了火狐浏览器,并获得了30000美元的现金奖励。

影响范围

Firefox 36之前的版本、Firefox ESR31.5.2之前的版本、SeaMonkey 2.33.1之前的版本

建议火狐用户尽快将浏览器更新到Firefox 36版本。

[参考来源securityweek,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

本文作者:, 转载请注明来自FreeBuf.COM

被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦