Mozilla Firefox 修復可能遭遠端執行任意程式碼之 0-day 漏洞.png

開放源碼瀏覽器 Mozilla Firefox,其開發維護單位 Mozilla Foundation 於日前宣布,修復兩個可能讓駭侵者得以遠端執行任意程式碼的嚴重等級 0-day 資安漏洞。

Mozilla 表示,這兩個漏洞都是屬於「use-after-free」漏洞,而且可能已經大量遭到駭侵者用以發動攻擊。

其中 CVE-2020-6819 這個漏洞和 Firefox 瀏覽器中的「nsDocShell destructor」組件相關,瀏覽器用以讀取 HTTP 檔頭資訊;這裡的程式錯誤可導致駭侵者藉以執行任意程式碼。

另一個漏洞編號為 CVE-2020-6820,問題出在 StreamsAPI 中的 ReadableStream 組件;駭侵者同樣也可利用這個錯誤來遠端執行任意程式碼。

所有受到影響的 Firefox 版本,包括 Firefox 74.0.1 先前所有版本,以及企業用戶的 Firefox Extended Support Release 68.6.1 先前所有版本,作業系統平台包括 Windows、macOS、Linux。

Mozilla 指出,由於已經傳出有駭侵者利用這兩個 0-day 漏洞發動攻擊,因此強烈建議所有 Firefox 用戶立即更新到最新版本,以修補這兩個漏洞。

 

  • CVE編號:CVE-2020-6819、CVE-2020-6820
  • 影響版本: Firefox 74.0.1 先前所有版本、Firefox ESR 68.6.1 先前所有版本
  • 解決方案:更新至最新版本
     

▼參考連結▼

【更多資訊產品漏洞】請參考 https://www.twcert.org.tw/tw/lp-104-1.html

 

    twcert 發表在 痞客邦 留言(0) 人氣()