Mozilla 修复已遭利用的两个火狐浏览器 0day

最新推荐文章于 2024-06-28 10:12:06 发布
最新推荐文章于 2024-06-28 10:12:06 发布
阅读量188 收藏
点赞数
原文链接:https://www.codesafe.cn/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

Mozilla 发布火狐 web 浏览器更新,修复了两个已遭利用的严重的释放后使用漏洞。

其中一个漏洞 CVE-2020-6819 被描述为由竞争条件引发的释放后使用漏洞,该竞争条件由运行 nsDocShell 析构函数时的某种条件触发。Tenable 公司的研究人员分析补丁后指出,这些问题是由“mContentViewer 未被正确发布”造成的。

第二个漏洞 CVE-2020-6820被描述为由处理 ReadableStream时触发的竞争条件而引发的释放后使用漏洞。

这两个漏洞均在 Firefox 74.0.1 和 Firefox ESR 68.6.1 版本中修复。Paul Ducklin 认为这两个漏洞可能从2019年7月开始就存在。

Ducklin 解释称,“鉴于最新的和 ESR 版本需修复,我们认为该漏洞至少首次出现于版本68中的火狐代码库中,也就是2019年7月,或者是版本68.0安全修复方案产生的副作用。”

Mozilla 对发现这两个漏洞的研究员 Francisco Alonso 和 Javier Marcos 表示感谢。Alonso 还对 Mozilla 公司处理漏洞报告的方式表示赞赏,同时认为其它浏览器也或受影响。

美国网络安全和基础设施安全局 (CISA) 建议用户尽快更新火狐浏览器。

这并非 Mozilla 公司在2020年修复的首个火狐浏览器 0day 漏洞。1月份,Mozilla 修复了结合利用 IE 0day 和火狐缺陷攻击中国和日本的 0day,而奇虎360公司指出这些攻击是由被指为和韩国存在关联的APT 组织 DarkHotel 所为。

推荐阅读

两年了火狐仍未修复某 0day,不料又一个新0day出现仨月了

我发现了25个影响力达20多年的 Windows 0day,微软刚修完11个

原文链接

https://www.securityweek.com/mozilla-patches-two-firefox-vulnerabilities-exploited-attacks

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

                           点个“在看”,一起玩耍

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
火狐新版本安装后安装了burpsuite仍无法拦包问题解决(页面提示SEC_ERROR_UNKNOWN_ISSUER)
我的博客
12-26 8210
火狐新版本安装后安装了burpsuite仍无法拦包问题解决(页面提示SEC_ERROR_UNKNOWN_ISSUER)前言解决方法后序 前言 当火狐更新后,在新版本使用过程中,如果搭配burpsuite工具想截取https时,有些小伙伴会出现即使导入了证书,也不能截取数据包,甚至在未拦包只开启代理的情况下,页面都无法正常显示,显示了如下错误页面。 此时有可能是由于之前安装过火狐然后卸载不干净的原...
技术淘宝
dicha7140的博客
06-23 2万+
???? ???? ???? ????精度前端学习 ——前端开发100天(置顶) http://alloyteam.github.io/CodeGuide/https://github.com/AlloyTeam/CodeGuide cmd控制台的小技巧:可以直接将文件夹/文件丢进去,这样就会打印出该路径了。 舒服的字体家族样式: font: 300 16px/1.8 ...
火狐浏览器mac_火狐浏览器紧急修复详情不明但已利用0day
weixin_39957265的博客
11-04 114
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队Mozilla 发布火狐 67.0.3 和火狐 ESR 60.7.1 版本,修复一个已利用的严重漏洞,可导致攻击者在运行易受攻击火狐版本的机器上执行任意代码。Mozilla 发布安全通告表示,火狐开发人员“意识到在野存在滥用该缺陷的目标攻击”,可导致利用该漏洞的攻击者控制受影响系统。火狐和火狐 ESR 0day 缺陷是由谷歌...
火狐浏览器打开后出现两个主页,其中一个为hao123
weixin_30312563的博客
09-26 2595
最近Firefox出问题了,每次打开都出现两个主页,一个自己设置的,一个是hao123。 起初以为是主页被篡改了,去选项里看也都正常,就是正常的主页。 恢复默认设置也不顶用。 网上找了一些方法,包括该注册表之类都不管用。 其中看到过一个说是打开的快捷方式并不是Firefox,而是hao123的快捷方式。我想这不可能吧, 我的快捷方式固定在任务栏的,怎么篡改的。 后来一想,确实是这么回事:...
Firefox 编译指南2024 Windows10篇- 源码获取(二)
守城小轩的技术窝棚
06-26 732
通过本篇指南,您已经成功了解并掌握了获取Firefox源码的关键步骤。我们从进入MozillaBuild环境开始,详细讲解了如何创建工作空间并获取必要的引导脚本bootstrap.py。接着,我们通过运行引导脚本获取了Firefox的源码,并提供了解决下载失败问题的方案。确保源码的完整性和正确性是编译成功的基础,也是后续开发和调试的重要前提。通过本文的介绍,读者可以高效地获取并管理Firefox源码,为接下来的编译和开发工作做好充分准备。
Firefox 97.0.2 修复两个利用0day
smellycat000的专栏
03-07 173
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Mozilla 发布Firefox 97.02、Firefox ESR 91.6.1、Firefox 安卓版本97.3.0以及 Focu...
Firefox源码编译(Windows)
phoenix510的博客
09-09 3405
Firefox二次开发环境搭建,源码编译
firefox源码编译--科学下载大型源码仓库通用办法
_
06-19 2006
准备 环境 ubuntu 21.04 x64 firefox内核: gecko-dev-B2G_2_1s_END.zip 安装依赖 sudo apt install autoconf2.13 zip gtk+2.0 -y 编译 #gecko-dev-B2G_2_1s_END.zip 已经解压为 /gecko cd /gecko/ ./mach build
渗透测试 ( 3 ) --- Metasploit Framework ( MSF )
墨鱼菜鸡
07-11 4461
白嫖 Metasploit Pro 2022:https://zhuanlan.zhihu.com/p/449836479 白嫖 Metasploit Pro 2022:http://t.zoukankan.com/hxlinux-p-15787814.html 好东西之 metasploit pro:https://www.52pojie.cn/thr...
前端面试题
热门推荐
qq_41887655的博客
08-08 2万+
前端面试题汇总 一、HTML和CSS 21 你做的页面在哪些流览器测试过?这些浏览器的内核分别是什么? 21 每个HTML文件里开头都有个很重要的东西,Doctype,知道这是干什么的吗? 21 Quirks模式是什么?它和Standards模式有什么区别 21 div+css的布局较table布局有什么优点? 22 img的alt与title有何异同? strong与em的异同? 22 你能...
笔记,后期整理
weixin_30278237的博客
08-06 8229
VM 虚拟各种系统的工具 安装目录 不要放在C盘 需要下载的镜像Windows NT win7 xp server08R2 server12类Nnix centos 6/7/8 ubuntu 14/16/18 kali安装 win7 1g=1024M1M=1024KB1KB=1024bit1bit 是一个字节 一个字节就是8位由0或者1组成(二进制) 10 进制0-9组成的数字...
如何自己编译firefox
lithe的Blog
02-28 6252
准备编译环境,需要安装 cygwin的unix模拟环境,下载cygwin,在default安装之外,需要选择安装如下包: * cvs * cygutils * make * patch * patchutils * perl * unzip * zip 如果你不是通过CVS下载代码,cvs可以不装,不过考虑到必须通过cvs下载locals文件,还是装了吧。 如果使用微软编译器(官方发布的就是使用微
Firefox 编译指南2024 Windows10篇- 编译Firefox(三)
最新发布
守城小轩的技术窝棚
06-28 1254
通过本篇《Firefox 编译指南 2024(三)- 编译Firefox》,我们详细介绍了从获取源码到最终编译出可执行的Firefox浏览器的各个步骤。通过正确配置编译环境、创建mozconfig文件、运行bootstrap命令以及最终的编译和打包,我们完成了一次完整的Firefox编译流程。在这过程中,我们强调了环境准备的重要性,包括安装必要的依赖库和工具,并确保源码的完整性。在配置阶段,通过mozconfig文件配置编译选项,确保编译过程能够顺利进行。
firefox源代码编译
watsonchen的专栏
05-09 607
1)  Download Mozilla Source CodeSource code for releases is available for download via FTP/HTTP.2) for Windows, do all the things below: If youre using Windows XP, you must hav
在Windows下编译Firefox源码
lonelyrains的专栏
08-29 7256
在Windows下编译Firefox源码  (2007-04-13 17:11:40)     (1) 下载MozillaBuildSetup-1.1.exe   http://ftp.mozilla.org/pub/mozilla.org/mozilla/libraries/win32/MozillaBuildSetup-1.1.exe
Linux下Firefox-91版本源码编译过程
weixin_35742493的博客
12-13 1927
下载源码 网址:https://launchpad.net/firefox/+packages 选择你所需要的版本 例如,选择Ubuntu20.04对应的firefox,选择firefox 91版本源码 下载上图三个文件,放在同一目录下,利用dpkg-source -x XXX.dsc命令对源码进行解压,会得到源码目录。 配置编译环境 进入源码目录,执行debuild命令,查看环境中缺少的依赖。有的依赖可以利用sudo apt install ;有的需要到https://pkgs.org/ 搜索缺少..
新手亲手编译mozilla firefox
zyc_sinacom的专栏
11-30 1748
由于项目需要,必须对firefox进行编译,在耗死n多脑细胞后,终于在windows下成功编译了。下面就将编译步骤详细列下:   环境:win32 xp,mozilla-1.9.1版(firefox-3.5rc3-source.tar.bz2),MozillaBuildSetup-1.4.exe,想编成VS2005版,其它版本我就不敢保证了。 步骤: 1,下载MozillaBuildSetu
编译 firefox linux,Linux下面Firefox 8.0.1的编译安装
weixin_31569671的博客
05-01 606
Firefox 8.0.1上个月已经发布了,好像还因为存在Bug而惹起了一阵小风波,现在已经修复了。下面说一下我在DebianSqueeze下面的编译安装过程,其它的平台应该差不多。 编译安装的过程主要参考了我编译Firefox 7.0.1的博文,在Debian Squeeze上编译安装Firefox 7.0.1。安装过程完全一致,所以写得比较简略,有问题请参考原来的博文。下载源代码首先打开Fir...
火狐浏览器45.9.0 esr 下载
05-16
火狐浏览器45.9.0 esr是目前仍被广泛使用的一款网络浏览器,该版本的火狐浏览器主要针对企业用户或需要长期支持的用户设计,其安全性较高并提供长期维护和更新支持。如果您需要下载该版本的火狐浏览器,可以通过以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值