4000-110-253
Firefox发布两个零日漏洞的修复程序. 2020-04-09
建议Firefox用户更新其浏览器,以修补黑客在现实世界中利用的两个错误。
该修补程序在今天早些时候发布的Firefox 74.0.1中可用。这个新的Firefox版本包含针对CVE-2020-6819和CVE-2020-6820的修复程序,这是Firefox管理其内存空间的方式中存在的两个错误。
这些漏洞就是所谓的“ 用户释放后”漏洞,这些漏洞使黑客可以将代码放入Firefox的内存中,并在浏览器的上下文中执行代码。此类漏洞可以被利用来在受害者的设备上运行代码,尽管此类代码的影响和范围通常会有所不同。
关于利用这两个漏洞的实际攻击的详细信息仍处于保密状态-这是软件供应商和安全研究人员的常见做法,因为他们专注于首先提供补丁,然后再进一步研究攻击。
Mozilla将安全研究人员Francisco Alonso和Javier Marcos归功于发现了两个零时差。
阿隆索在今天的一条推文中建议,尽管尚不清楚这些浏览器是否也已被利用,但今天发现的错误也可能会影响其他浏览器。
There is still lots of work to do and more details to be published (including other browsers). Stay tuned.
这是Mozilla今年在Firefox中进行的第二次零日修复。1月,随着Firefox v72.0.1的发布,它修复了另一个错误。根据奇虎360和日本CERT发布的报告,该漏洞被利用作为国家支持的网络间谍活动的一部分,攻击了中国和日本的用户。
