信息來源:比特網(wǎng)
9月20日,Mozilla發(fā)布了Firefox49.0版本,共修復(fù)了18個安全漏洞�����,其中包括一個來自360信息安全部Gear Team的女安全研究員“王大狀”�����, 漏洞編號CVE-2016-5280�����,為此Mozilla基金會根據(jù)自身漏洞獎勵給予了 360女黑客4000 美元的獎勵�����。
其中 CVE-2016-5280是一個UAF(Use-After-Free)漏洞�����,存在于dom/base/DirectionalityUtils.cpp中�����。當(dāng)DOM節(jié)點的屬性“dir”發(fā)生改變時�����,會導(dǎo)致釋放重用�����,并導(dǎo)致遠程代碼執(zhí)行或遠程拒絕服務(wù)�����,F(xiàn)irefox47�����, 48版本均會受到影響�����。
除此之外�����,F(xiàn)irefox49.0還修復(fù)了一個可造成中間人攻擊和遠程代碼執(zhí)行的漏洞�����。該漏洞允許攻擊者使用瀏覽器信任的CA機構(gòu)簽發(fā)偽造的addons.mozilla.org服務(wù)器證書,中間人攻擊者通過攔截升級請求�����,返回偽造的惡意升級元數(shù)據(jù)文件�����,下載惡意擴展載體�����,并進行靜默安裝�����,獲取代碼執(zhí)行權(quán)限�����。
建議Firefox瀏覽器用戶盡快升級到最新版本�����。
