安全狗漏洞通告:Mozilla Firefox Use-after-free漏洞解决方案

最新推荐文章于 2023-04-06 20:01:19 发布
最新推荐文章于 2023-04-06 20:01:19 发布
阅读量2.8k 收藏
点赞数
分类专栏: 安全狗 文章标签: firefox 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bocco/article/details/123335979
版权

近日,安全狗应急响应中心监测到Mozilla发布安全公告,修复了Firefox、Firefox ESR、Firefox for Android、Focus和Thunderbird中2个被积极利用的0 day漏洞(CVE-2022-26485和CVE-2022-26486)。

漏洞描述

Mozilla Firefox,中文俗称“火狐”(正式缩写为Fxfx),是一个由Mozilla开发的自由及开放源代码的网页浏览器。

 

这2个漏洞均为Use-after-free(释放后使用)漏洞,攻击者能够利用它们导致程序崩溃,或在未经许可的情况下在设备上执行命令,详情如下:

CVE-2022-26485:XSLT参数处理中的Use-after-free漏洞,在处理过程中删除XSLT参数可能导致Use-after-free。

CVE-2022-26486:WebGPU IPC框架中的Use-after-free漏洞,WebGPU IPC框架中的意外消息可能导致Use-after-free和沙箱逃逸。

Mozilla表示攻击者正在利用这些漏洞发起攻击,虽然攻击方式尚未公开,但很可能是通过将Firefox用户重定向到恶意制作的网页来完成的。

安全通告信息

漏洞名称

Mozilla Firefox Use-after-free漏洞

漏洞影响版本

Firefox版本<97.0.2

Firefox ESR版本<91.6.1

Firefox for Android版本<97.3

Focus版本<97.3

Thunderbird版本<91.6.2

漏洞危害等级

高危

厂商是否已发布漏洞补丁

版本更新地址

https://www.firefox.com.cn/

安全狗总预警期数

205

安全狗发布预警日期

2022年03月05日

安全狗更新预警日期

2022年03月07日

发布者

安全狗海青实验室

处置措施

目前这些漏洞已经修复。鉴于漏洞的严重性,以及这些漏洞正在被积极利用,安全狗建议:

1、受影响用户及时升级更新到以下版本:

Firefox版本97.0.2(Windows、macOS、Linux)

Firefox ESR版本91.6.1

Firefox for Android版本97.3

Focus版本97.3

Thunderbird版本91.6.2

2、下载链接:

https://www.firefox.com.cn/

注:用户也可以通过转到Firefox菜单>帮助>关于Firefox手动检查新更新,然后Firefox将自动检查并安装最新更新,并提示重新启动浏览器。

【备注】:建议您在升级前做好数据备份工作,避免出现意外

bocco
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-24616:Jackson 多个反序列化安全漏洞通告 .pdf
09-05
**CVE-2020-24616:Jackson反序列化安全漏洞详解** Jackson是Java中广泛使用的JSON处理库,它提供了高效且灵活的数据绑定功能。然而,2020年8月27日,360CERT披露了一个高危安全漏洞,即CVE-2020-24616,该漏洞影响...
释放重引用(Use After Free,UAF)漏洞原理
weixin_41487541的博客
12-21 1181
释放重引用漏洞就是使用到已被释放的内存,最终导致内存崩溃或任意代码执行的漏洞。UAF漏洞在浏览器中最常见,比如IE、Chrome、Firefox等。
use-after-free漏洞-hacknote
qq_43390703的博客
10-17 1143
hacknote 经典的use-after-free漏洞。 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存
车联网开源组件BusyBox漏洞分析及复现(CVE-2022-30065)
蛇矛实验室
02-21 914
近日,国内多家安全实验室检测到了针对于智能网联汽车中使用都开源项目busybox漏洞,国外在2022年5月份报告了此漏洞,目前已经发布的CVE信息如下,信息中指出Busybox1.35-x版本中,awk应用由于use after free导致拒绝服务漏洞或可能获取代码执行权限。
Linux内核中段伪例,利用Linux内核里的Use-After-Free(UAF)漏洞提权
weixin_34405084的博客
04-30 357
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。* 作者:nickchang上个月爆出的CVE-2016-0728 (http://www.freebuf.com/vuls/93799.html)本地提权漏洞让大家的目光又一次聚焦在linux内核安全上。和CVE-2015-3636,CVE-2015-7312,CVE-2014-2...
【堆漏洞-Use after free
m0_52343643的博客
04-06 146
释放堆时没有将堆指针设为NULL,使得可以继续使用这个堆指针操作空中(执行或修改)释放堆中的内容。
腾讯蓝军安全通告:WebLogic远程代码执行漏洞(CVE-2020-14645).pdf
09-18
腾讯蓝军安全通告:WebLogic远程代码执行漏洞(CVE-2020-14645) 安全建设 安全 安全众测 开发安全 网络与基础架构安全
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
腾讯蓝军安全通告:XStream修复14个安全漏洞.pdf
09-18
腾讯蓝军安全通告:XStream修复14个安全漏洞 安全分析 安全意识教育 安全实践 信息安全 攻防实训与靶场
畅捷通 T+ 远程代码执行漏洞安全风险通告
08-30
畅捷通 T+ 远程代码执行漏洞安全风险通告
cve-2015-3636
qq_37439229的博客
02-09 470
cve-2015-3636 CVE-2015-3636是一个Android系统上可通用的root提权漏洞 复现的kernel版本:3.14,编译时将补丁去除了 漏洞概述 该漏洞属于Linux Kernel级别的use-after-free漏洞,存在于Linux内核的ping.c文件中。当用户态调用系统调用socket(AF_INET, SOCK_DGRAM, IPPROTO_ICMP),用返回的socket文件描述符作为参数调用系统调用connect(),并且connect的第二个参数中sa_family
Mozilla 修复Firefox 浏览器的多个高危漏洞
smellycat000的专栏
03-17 951
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周,Mozilla发布Firefox 111,修复了13个漏洞,其中一些是严重级别。在这13个CVE漏洞中,7个为“高危”级别,3个仅影响安卓版本的Firefox浏览器,可导致黑客隐藏全屏通知,从而导致用户混淆或欺骗攻击,并在无需提示的情况下打开第三方应用。其它高危漏洞可导致任意代码执行和信息泄露后果。Sophos 公司分析了这些补丁并着重强调...
Firefox 内存破坏漏洞
OSCS开源安全社区
08-25 280
Firefox 103、Firefox ESR 102.1 和 Firefox ESR 91.12 中存在内存安全漏洞,其中一些错误回显包含敏感信息,攻击者可利用此漏洞执行任意代码。升级Firefox到104、Firefox ESR到102.2、Firefox ESR到91.13 或更高版本。Firefox 是一款网络浏览器。
linux对firefox权限,Mozilla Firefox 不明细节权限提升漏洞
weixin_33514163的博客
04-30 68
发布日期:2014-03-13更新日期:2014-03-14受影响系统:Mozilla Firefox描述:--------------------------------------------------------------------------------BUGTRAQ ID: 66206Firefox是一款非常流行的开源WEB浏览器。Mozilla Firefox在实现上存在不明细...
18个扩展让你的Firefox成为渗透测试工具
JX
12-13 1628
Firefox是一个出自Mozilla组织的流行的web浏览器。Firefox的流行并不仅仅是因为它是一个好的浏览器,而是因为它能够支持插件进而加强它自身的功能。Mozilla有一个插件站点,在那里面有成千上万的,非常有用的,不同种类的插件。一些插件对于渗透测试人员和安全分析人员来说是相当有用的。这些渗透测试插件帮助我们执行不同类型的攻击,并能直接从浏览器中更改请求头部。对于渗透测试中涉及到的相关
Lanproxy任意文件读取漏洞复现(CVE-2021-3019)
黑白的博客
05-02 560
声明 好好学习,天天向上 漏洞描述 影响范围 复现过程 这里使用0.1版本 下载地址,复现只下载服务端版本即可,放在一个已经配置好java环境的linux的服务器中,proxy-server-0.1.zip https://file.nioee.com/d/2e81550ebdbd416c933f/ 执行 unzip proxy-server-0.1.zip mv proxy-server-0.1 /usr/local/ vim /usr/local/proxy-server-0.1/conf/confi
Firefox出现大漏洞 黑客恐取得系统层权限执行任何指令
mondy1989的博客
02-02 1223
Mozilla发出安全公告揭露Firefox56到58版存在一个能让未经验证的远程攻击者在受害系统上执行程序代码的漏洞Mozilla已经释出更新版Firefox解决问题。 文章出自:SBF999胜博发娱乐时代 http://www.iselex.com/ 这项编号为CVE-2018-5124的漏洞是由Mozilla研究人员Johann Hofmann通报,它存在于Firefox
Firefox 浏览器爆严重漏洞-CVE-2019-11707
大哥一声吼
06-21 1852
CVE-2019-11707 漏洞
use-after-free漏洞发现之旅use-after-free漏洞发现之旅
weixin_33851177的博客
03-20 649
2019独角兽企业重金招聘Python工程师标准>>> ...
jackson 序列化_安全通告:jackson-databind序列化漏洞(CVE-2020-24616)
最新发布
05-19
是的,jackson-databind 序列化漏洞(CVE-2020-24616)是一个安全问题,可能会导致远程代码执行。该漏洞存在于 jackson-databind 库中,该库是一个流行的 Java 序列化/反序列化库,广泛用于各种应用程序和框架中。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值