Mozilla 开发人员发布了新版本的 Firefox 74.0.1 和 Firefox ESR 68.6.1 网络浏览器。 建议用户更新浏览器,因为提供的版本修复了黑客在实践中使用的两个零日漏洞。
我们正在讨论与 Firefox 管理内存空间的方式相关的漏洞 CVE-2020-6819 和 CVE-2020-6820。 这些是所谓的释放后使用漏洞,允许黑客在 Firefox 内存中放置任意代码,以便在浏览器上下文中执行。 此类漏洞可用于在受害者设备上远程执行代码。
使用上述漏洞的实际攻击细节并未公开,这是软件供应商和信息安全研究人员的常见做法。 这是因为它们通常都专注于快速消除检测到的问题并向用户提供修复,然后才对攻击进行更详细的调查。
根据现有数据,Mozilla 将与信息安全公司 JMP Security 以及最先发现该问题的研究员 Francisco Alonso 一起调查利用这些漏洞的攻击。 研究人员表示,最新的 Firefox 更新中修复的漏洞可能会影响其他浏览器,尽管目前还没有已知的案例表明这些错误在不同的网络浏览器中被黑客利用。
来源: 3dnews.ru