Mozilla紧急修补两个已被开采的Firefox零时差漏洞

Mozilla在上周紧急修补了两个已被开采的Firefox零时差漏洞,相关漏洞将允许骇客自远端执行程式,进而掌控受害电脑,用户可升级到Firefox 74.0.1与Firefox ESR 68.6.1以解决漏洞。

其中的CVE-2020-6819漏洞,存在于用来读取HTTP标头的浏览器元件nsDocShell destructor中,它是个释放后使用(use-after-free)漏洞;而CVE-2020-6820则是出现在处理ReadableStream的时候,同样属于释放后使用漏洞。

这两个漏洞都被列为重大(Critical)等级,而且已被骇客开采以执行目标式攻击。

美国国土安全部网路安全及基础架构安全署(CISA),也针对这两个漏洞提出警告,指称成功的开采,将让骇客取得系统的控制权。

Author: bwh