首頁 > 安全研究 > 安全通報 > 安全通告

Firefox |安全漏洞通告

發布時間 2020-04-14

0x00 漏洞概述


產品

CVE ID

類 型

漏洞等級

遠程利用

影響范圍

Firefox

CVE-2020-6821

信息泄露

高危

Firefox < 75

Firefox

CVE-2020-6822

緩沖區溢出

中危

Firefox < 75

Firefox ESR < 68.7

Firefox

CVE-2020-6823

信息泄露

中危

Firefox < 74

Firefox

CVE-2020-6824

越權訪問

中危

Firefox < 75

Firefox

CVE-2020-6825

內存破壞

高危

Firefox ESR 68.6

Firefox 74

Firefox

CVE-2020-6826

內存破壞

高危

Firefox 74


0x01 漏洞詳情




Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。

2020年4月7日,Mozilla在其安全通告中批露其修復了六個漏洞,具體如下:

CVE-2020-6821是當使用WebGL的copyTexSubImage方法從源資源中讀取數據時,規范要求返回值為零。但此內存未初始化,導致潛在的敏感數據泄露。

CVE-2020-6822是在GMPDecodeData中處理大于4 GB的圖像時,可能會發生越界寫入。攻擊者可利用該漏洞執行任意代碼。

CVE-2020-6823是惡意擴展程序通過調用browser.identity.launchWebAuthFlow來控制redirect_uri,并獲得Auth代碼,在服務提供商處訪問用戶的帳戶。

CVE-2020-6824是在兩次打開私人瀏覽窗口時,程序生成相同的密碼(前提:Firefox一直處于打開狀態)。攻擊者可借助特制的網站利用該漏洞獲取系統未授權的訪問權限。

CVE-2020-6825是在Mozilla Firefox ESR 68.6版本和Firefox 74版本中存在內存安全性錯誤。攻擊者可利用該漏洞損壞內存或可能執行任意代碼。

CVE-2020-6826是在Firefox 74版本中存在內存安全性錯誤。攻擊者可利用該漏洞破壞內存并執行任意代碼。


0x02 處置建議


廠商已發布升級補丁,下載鏈接:

https://www.mozilla.org/en-US/security/advisories/mfsa2020-12/


0x03 相關新聞

https://www.auscert.org.au/bulletins/ESB-2020.1228/


0x04 參考鏈接

https://www.mozilla.org/en-US/security/advisories/mfsa2020-12/


0x05 時間線

2020-04-07 Firefox官方發布漏洞

2020-04-10 CVE發布該漏洞


                                           


上一篇 下一篇