聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
摘要
WebKit 浏览器引擎受多个漏洞影响,其中有些漏洞可被用于执行远程代码。
WebKit 是一款开源引擎,用于 Safari 和其它苹果产品以及许多其它 macOS、iOS 和 Linux 产品中。
思科 Talos 威胁情报和研究团队在本周一表示,团队一名研究员发现了多个高危的释放后使用漏洞,只需诱骗目标用户通过使用 WebKit 的浏览器访问一个特别构造的网页即可。
这些漏洞和 WebKit 的 WebSocket、AudioSourceProviderGStreamer 和 ImageDecoderGStreamer 功能有关。Talos 团队指出,这些缺陷在今年秋天报告,并于本月月初修复,它们的编号是CVE-2020-13584、CVE-2020-13558 和 CVE-2020-13543。其中,CVE-2020-13543是一个代码执行漏洞,存在于 Webkit WebKitGTK 2.30.0 的 WebSocket 功能中。特殊构造的网页可触发一个释放后使用漏洞,从而导致远程代码执行后果。攻击者可诱骗用户访问网页,触发该漏洞。CVE-2020-13584是一个可利用的释放后使用漏洞,位于 WebKitGTK 浏览器版本 2.30.1 x64 中。特殊构造的 HTML 网页可引发释放后使用条件,导致远程代码执行后果。受害者需要访问恶意网站才能能触发该漏洞。
苹果可能会在即将发布的软件更新中修复这些漏洞。
漏洞详情可见:
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1155
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1195
推荐阅读
速修复!开源 IT 基础设施管理解决方案 Salt 被曝多个严重漏洞
开源管理软件 OpenEMR 被曝多个漏洞,可被用于攻陷医疗基础设施
FBI紧急警告:黑客利用开源SonarQube实例窃取政府和企业源代码
原文链接
https://www.securityweek.com/webkit-vulnerabilities-allow-remote-code-execution-malicious-websites
https://blog.talosintelligence.com/2020/11/vuln-spotlight-webkit-use-after-free-nov-2020.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+feedburner%2FTalos+%28Talos%E2%84%A2+Blog%29
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
1470
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
