聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Mozilla 发布火狐 web 浏览器更新,修复了两个已遭利用的严重的释放后使用漏洞。
其中一个漏洞 CVE-2020-6819 被描述为由竞争条件引发的释放后使用漏洞,该竞争条件由运行 nsDocShell 析构函数时的某种条件触发。Tenable 公司的研究人员分析补丁后指出,这些问题是由“mContentViewer 未被正确发布”造成的。
第二个漏洞 CVE-2020-6820被描述为由处理 ReadableStream时触发的竞争条件而引发的释放后使用漏洞。
这两个漏洞均在 Firefox 74.0.1 和 Firefox ESR 68.6.1 版本中修复。Paul Ducklin 认为这两个漏洞可能从2019年7月开始就存在。
Ducklin 解释称,“鉴于最新的和 ESR 版本需修复,我们认为该漏洞至少首次出现于版本68中的火狐代码库中,也就是2019年7月,或者是版本68.0安全修复方案产生的副作用。”
Mozilla 对发现这两个漏洞的研究员 Francisco Alonso 和 Javier Marcos 表示感谢。Alonso 还对 Mozilla 公司处理漏洞报告的方式表示赞赏,同时认为其它浏览器也或受影响。
美国网络安全和基础设施安全局 (CISA) 建议用户尽快更新火狐浏览器。
这并非 Mozilla 公司在2020年修复的首个火狐浏览器 0day 漏洞。1月份,Mozilla 修复了结合利用 IE 0day 和火狐缺陷攻击中国和日本的 0day,而奇虎360公司指出这些攻击是由被指为和韩国存在关联的APT 组织 DarkHotel 所为。
推荐阅读
两年了火狐仍未修复某 0day,不料又一个新0day出现仨月了
我发现了25个影响力达20多年的 Windows 0day,微软刚修完11个
原文链接
https://www.securityweek.com/mozilla-patches-two-firefox-vulnerabilities-exploited-attacks
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,一起玩耍