云安详日报201118:火狐赏识器发明恣意代码执行裂痕,必要尽快进级
|
火狐赏识器(Mozilla Firefox)是Mozilla基金会的产物,它是一款开源Web赏识器,引擎回响快,内存占用少。Firefox从2005年开始,每年都被媒体选为年度最佳赏识器。 11月17日,Mozilla宣布了Firefox 83版,Firefox ESR 78.5企业版紧张安详更新,首要修复了先前版本发明的恣意代码执行和跨站剧本进攻等重要裂痕。以下是裂痕详情: 裂痕详情 1.CVE-2020-26968,CVE-2020-26969 严峻水平:高 Firefox 82和Firefox ESR 78.4中存在内存安详裂痕,该裂痕应承进攻者操作来执行恣意代码 2.CVE-2020-26951 严峻水平:高 Firefox的SVG代码中的理会和变乱加载不匹配也许导致加载变乱被触发,纵然在破除之后也是云云。已经可以或许操作特权内部页面中的XSS裂痕的进攻者可以操作此进攻绕过内置安详整理措施。 3.CVE-2020-26952 严峻水平:高 在JIT编译时代内联的函数的不正确记账也许会导致内存破坏,而且在处理赏罚内存不敷错误时也许导致可操作的瓦解。 4.CVE-2020-26956 严峻水平:中 在某些环境下,在整理进程中删除HTML元素将保存现有的SVG变乱处理赏罚措施,因此会导致XSS跨站剧本进攻(XSS进攻凡是指的是通过操作网页开拓时留下的裂痕,通过奇妙的要领注入恶意指令代码到网页,行使户加载并执行进攻者恶意制造的网页措施) 5.CVE-2020-16012 严峻水平:中 在未知的跨原图图像上绘制透明图像时,Skia库drawImage函数会耗费可变的时刻,详细取决于基本图像的内容。这导致通过按时边缘进攻也许导致图像内容的跨域信息袒露。 受影响产物和版本 上述裂痕影响Firefox v82及更早版本,Firefox ESR 78.4及更早版本 办理方案 Mozilla已经宣布了安详更新,进级Firefox v83版本,Firefox ESR 78.5版本版本可修复 查察更多裂痕信息 以及进级请会见官网: https://www.mozilla.org/en-US/security/advisories/mfsa2020-50/ (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
