Firefox 97.0.2 修复两个已遭利用的0day

最新推荐文章于 2024-07-30 20:07:10 发布
最新推荐文章于 2024-07-30 20:07:10 发布
阅读量164 收藏
点赞数
文章标签: java 安全 信息安全 c++ 微软
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247510779&idx=2&sn=ebffc30f51572f1abd513f92b810858b&chksm=ea949b91dde31287dee367059f7db5e2dd338e600e25a7139b08463e0b1acc74d939bf9baf0c&scene=126&&sessionid=0
版权

dfa74d6a1bb35e34fffbcde6552e96cc.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Mozilla 发布Firefox 97.02、Firefox ESR 91.6.1、Firefox 安卓版本97.3.0以及 Focus 97.3.0版本,修复了两个已遭利用的0day漏洞。

这两个0day漏洞均为“释放后使用”漏洞。当程序尝试使用此前被清空的内存时即可触发。当威胁行动者利用这类漏洞时,可导致程序崩溃,同时允许在无需权限的情况下在设备上执行命令。

这些漏洞之所以是严重级别,是因为可导致远程攻击者执行几乎任意命令,包括下载恶意软件,提供设备的进一步访问权限。

Mozilla 修复的0day 是:

  • CVE-2022-26485:XSLT参数处理中的释放后使用漏洞:在处理过程中删除 XSLT 参数可导致可利用的释放后使用漏洞。已存在该漏洞遭在野利用的报告。

  • CVE-2022-26486:WebGPU IPC 框架中的释放后使用漏洞:WebGPU IPC 框架中的异常报文可导致释放后使用漏洞和可利用的沙箱逃逸漏洞。已存在该漏洞遭在野利用的报告。

Mozilla 公司发布安全公告指出,火狐开发人员发现了活跃利用这些漏洞的“在野攻击报告”。

虽然Mozilla 公司并未共享攻击者如何滥用这些0day的详情,但可能是通过将火狐用户重定向至恶意构造的网页而利用。

鉴于这些漏洞的严重性且已遭在野利用,强烈建议所有火狐用户立即更新浏览器。用户也可通过“Firefox 目录>帮助>关于火狐”手动检查更新。火狐将自动检查并更新最新更新,提醒用户重启浏览器。

代码卫士试用地址:https://codesafe.qianxin.com/#/home

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍

谷歌Chrome 紧急修复已遭利用的0day

谷歌:修复0day漏洞的平均耗时比3年前减少28天

苹果发布 iOS 和 macOS 更新,修复已遭利用0day

火狐修复神秘的严重漏洞,同时影响Chrome 浏览器

两年了火狐仍未修复某 0day,不料又一个新0day出现仨月了

Mozilla 加大火狐浏览器漏洞奖励力度

原文链接

https://www.bleepingcomputer.com/news/security/mozilla-firefox-9702-fixes-two-actively-exploited-zero-day-bugs/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

63e0d70ebdea30bbf72aa35c0fe520a0.png

4d4a17085f9735f13ad1393d7e04a30e.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   9ff81e0656f86daa522525358e56a150.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
chrome谷歌浏览器驱动(97.0.4692.71)
10-20
chromedriver 适用于chrome谷歌浏览器版本(97.0.4692.71), 谷歌浏览器驱动主要用于selenium自动化操作,Python调试脚本。 该资源包含linux,mac,Windows三个系统版本。 解压对应的zip压缩包即可,经测试可正常...
chrome谷歌浏览器驱动(97.0.4692.20)
10-20
chromedriver 适用于chrome谷歌浏览器版本(97.0.4692.20), 谷歌浏览器驱动主要用于selenium自动化操作,Python调试脚本。 该资源包含linux,mac,Windows三个系统版本。 解压对应的zip压缩包即可,经测试可正常...
Mozilla 修复Firefox 浏览器的多个高危漏洞
smellycat000的专栏
03-17 957
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周,Mozilla发布Firefox 111,修复了13个漏洞,其中一些是严重级别。在这13个CVE漏洞中,7个为“高危”级别,3个仅影响安卓版本的Firefox浏览器,可导致黑客隐藏全屏通知,从而导致用户混淆或欺骗攻击,并在无需提示的情况下打开第三方应用。其它高危漏洞可导致任意代码执行和信息泄露后果。Sophos 公司分析了这些补丁并着重强调...
火狐浏览器mac_火狐浏览器紧急修复详情不明但已利用0day
weixin_39957265的博客
11-04 105
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队Mozilla 发布火狐 67.0.3 和火狐 ESR 60.7.1 版本,修复一个已利用的严重漏洞,可导致攻击者在运行易受攻击火狐版本的机器上执行任意代码。Mozilla 发布安全通告表示,火狐开发人员“意识到在野存在滥用该缺陷的目标攻击”,可导致利用该漏洞的攻击者控制受影响系统。火狐和火狐 ESR 0day 缺陷是由谷歌...
Mozilla 修复利用两个火狐浏览器 0day
smellycat000的专栏
04-07 182
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队Mozilla 发布火狐 web 浏览器更新,修复两个利用的严重的释放后使用漏洞。其中一个漏洞 CVE-2020-6...
第2个0day!火狐浏览器再次紧急发布新版本,修复利用的第2个0day
systemino的博客
06-23 423
时隔两天,火狐浏览器再发新版本67.0.4,修复和第1个0day出现于同样攻击中的另外一个0day。火狐浏览器用户应立即安装更新。 前天我们在文章《火狐浏览器紧急修复详情不明但已利用0day》指出,火狐发布67.0.3版本修复已被用于针对性攻击中的一个严重的远程代码执行漏洞。之后,研究人员发现该漏洞和另外一个未知漏洞被组合用于钓鱼攻击中,以在受害者机器上释放并执行恶意payl...
Firefox出现大漏洞 黑客恐取得系统层权限执行任何指令
mondy1989的博客
02-02 1226
Mozilla发出安全公告揭露Firefox56到58版存在一个能让未经验证的远程攻击者在受害系统上执行程序代码的漏洞。Mozilla已经释出更新版Firefox解决问题。 文章出自:SBF999胜博发娱乐时代 http://www.iselex.com/ 这项编号为CVE-2018-5124的漏洞是由Mozilla研究人员Johann Hofmann通报,它存在于Firefox
谷歌浏览器离线版 V97.0.4692.71(ChromeStandaloneSetup64.exe)
01-07
谷歌浏览器离线版 V97.0.4692.71(ChromeStandaloneSetup64.exe)
ChromeStandaloneSetup64-V97.0.4692.71.exe
02-07
这个版本号97.0.4692.71代表了浏览器在发布时的具体更新迭代,每个数字都可能涉及到不同的性能改进、安全修复或新功能的添加。 Chrome浏览器的核心特性包括: 1. **V8引擎**:Chrome采用开源的JavaScript引擎V8,...
cef_97.0.9.0_chromium-97.0.4692.45_win64_h264
03-08
标题“cef_97.0.9.0_chromium-97.0.4692.45_win64_h264”表明这是一个基于Chromium内核的CEF(Chromium Embedded Framework)版本,其核心是97.0.4692.45,专为64位Windows系统设计,并且特别强调了对H264视频编码的...
Firefox 31~34远程命令执行漏洞的分析
weixin_34239169的博客
03-08 213
phith0n · 2015/03/26 17:470x00 前言前段时间,二哥在很多浏览器中将脚本层面的漏洞提升为远程命令执行,几乎日遍市面上所有国产浏览器,这成为了许多人津津乐道的话题。确实,在当今这个底层安全防护越来越强的环境下,堆栈溢出、UAF造成的漏洞利用起来变得很困难,但如果借助浏览器提供的一些脚本层接口做到RCE,将是一个是两拨千金的过程。CVE-2014-8638就是这样一个漏洞,...
Firefox 浏览器爆严重漏洞-CVE-2019-11707
大哥一声吼
06-21 1866
CVE-2019-11707 漏洞
Firefox曝出严重0 day漏洞,所有用户请马上修复
systemino的博客
06-20 185
Mozilla紧急发布了Firefox 67.0.3和Firefox ESR 60.7.1版本,用于修复最新发现的0 day漏洞。 至于漏洞的具体原因,根据官方的说法,原因如下: 由于Array.pop中的问题,操作JavaScript对象时可能会出现类型混淆漏洞。而这种漏洞会给用户的Firefox使用带来灾难性后果(该漏洞能够让黑客操纵JavaScript代码诱骗用户访问,并将恶意代码部署...
Firefox 内存破坏漏洞
OSCS开源安全社区
08-25 285
Firefox 103、Firefox ESR 102.1 和 Firefox ESR 91.12 中存在内存安全漏洞,其中一些错误回显包含敏感信息,攻击者可利用此漏洞执行任意代码。升级Firefox到104、Firefox ESR到102.2、Firefox ESR到91.13 或更高版本。Firefox 是一款网络浏览器。
java springboot 集成 阿里通义千问
qq_25987725的博客
07-25 233
一、在阿里云https://www.aliyun.com官网直接搜索“通义千问”,点击“开通DashScope”进行服务激活。四、在config目录添加配置 TongYiAiConfiguration.java。三、在yml中配置中配置key。二、加入Maven依赖。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 322
1.导入hutool的maven依赖。2.复制一下代码执行。
JavaSE面向对象进阶
最新发布
qq_45348840的博客
07-30 305
需求:在实际开发中,经常会遇到一些数组使用的工具类;请按照如下要求编写一个数组的工具类:ArrayUtil提供一个工具类方法printArr,用于返回整数数组的内容。返回的字符串格式如:[10,20,50,34,100 ](只考虑整数数组,且只考虑一维数组)提供这样一个工具方法getAerage,用于返回平均分。(只考虑浮点型数组,且只考虑一维数组)定义一个测试类TestDemo,调用该工具类的工具方法,并返回结果。// 私有化构造方法// 定义静态方法,方便调用。i++) {
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 157
1.导入hutool的maven依赖。2.直接复制一下代码运行。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 597
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
vulkan-filesystem-1.1.97.0-1.el7.noarch.rpm
09-10
vulkan-filesystem-1.1.97.0-1.el7.noarch.rpm是一个针对CentOS 7操作系统的RPM软件包。它提供了与Vulkan图形API相关的文件系统支持。 Vulkan是一种先进的图形编程接口,用于构建高性能的图形应用程序。它支持多个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值