安全動(dòng)態(tài)

360女黑客發(fā)現(xiàn)Firefox高危漏洞

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-09-28    瀏覽次數(shù):
 

信息來(lái)源:比特網(wǎng)

9月20日,Mozilla發(fā)布了Firefox49.0版本,共修復(fù)了18個(gè)安全漏洞,其中包括一個(gè)來(lái)自360信息安全部Gear Team的女安全研究員“王大狀”, 漏洞編號(hào)CVE-2016-5280,為此Mozilla基金會(huì)根據(jù)自身漏洞獎(jiǎng)勵(lì)給予了 360女黑客4000 美元的獎(jiǎng)勵(lì)。

說(shuō)明: E:\work\文章發(fā)表\截圖20160926170805913.jpg

其中 CVE-2016-5280是一個(gè)UAF(Use-After-Free)漏洞,存在于dom/base/DirectionalityUtils.cpp中。當(dāng)DOM節(jié)點(diǎn)的屬性“dir”發(fā)生改變時(shí),會(huì)導(dǎo)致釋放重用,并導(dǎo)致遠(yuǎn)程代碼執(zhí)行或遠(yuǎn)程拒絕服務(wù),F(xiàn)irefox47, 48版本均會(huì)受到影響。

除此之外,F(xiàn)irefox49.0還修復(fù)了一個(gè)可造成中間人攻擊和遠(yuǎn)程代碼執(zhí)行的漏洞。該漏洞允許攻擊者使用瀏覽器信任的CA機(jī)構(gòu)簽發(fā)偽造的addons.mozilla.org服務(wù)器證書(shū),中間人攻擊者通過(guò)攔截升級(jí)請(qǐng)求,返回偽造的惡意升級(jí)元數(shù)據(jù)文件,下載惡意擴(kuò)展載體,并進(jìn)行靜默安裝,獲取代碼執(zhí)行權(quán)限。

建議Firefox瀏覽器用戶盡快升級(jí)到最新版本。

 

 
 

上一篇:不是想做就能做的車聯(lián)網(wǎng)安全 憑什么東軟做到了?

下一篇:2016年09月28日 聚銘安全速遞