信息來源:比特網(wǎng)
9月20日,Mozilla發(fā)布了Firefox49.0版本�,共修復(fù)了18個(gè)安全漏洞,其中包括一個(gè)來自360信息安全部Gear Team的女安全研究員“王大狀”�����, 漏洞編號(hào)CVE-2016-5280�,為此Mozilla基金會(huì)根據(jù)自身漏洞獎(jiǎng)勵(lì)給予了 360女黑客4000 美元的獎(jiǎng)勵(lì)����。
其中 CVE-2016-5280是一個(gè)UAF(Use-After-Free)漏洞,存在于dom/base/DirectionalityUtils.cpp中�。當(dāng)DOM節(jié)點(diǎn)的屬性“dir”發(fā)生改變時(shí)�,會(huì)導(dǎo)致釋放重用�,并導(dǎo)致遠(yuǎn)程代碼執(zhí)行或遠(yuǎn)程拒絕服務(wù),F(xiàn)irefox47�, 48版本均會(huì)受到影響。
除此之外,F(xiàn)irefox49.0還修復(fù)了一個(gè)可造成中間人攻擊和遠(yuǎn)程代碼執(zhí)行的漏洞���。該漏洞允許攻擊者使用瀏覽器信任的CA機(jī)構(gòu)簽發(fā)偽造的addons.mozilla.org服務(wù)器證書,中間人攻擊者通過攔截升級(jí)請(qǐng)求�,返回偽造的惡意升級(jí)元數(shù)據(jù)文件,下載惡意擴(kuò)展載體��,并進(jìn)行靜默安裝���,獲取代碼執(zhí)行權(quán)限。
建議Firefox瀏覽器用戶盡快升級(jí)到最新版本���。
