按 Enter 到主內容區
:::

TWCERT-電子報

:::

Mozilla 修復於 Pwn2Own 大賽中遭發現的 Firefox、Thunderbird 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-05-26
  • 點閱次數:115
Mozilla 修復於 Pwn2Own 大賽中遭發現的 Firefox、Thunderbird 0-day 漏洞 TWCERT/CC

CVE編號

CVE-2022-1802、CVE-2022-1529

內文

Mozilla 近日對旗下多種軟體產品推出資安更新,主要修復兩個存於 Firefox、Thunderbird 中,在今(2022)年於加拿大溫哥華舉辦的 Pwn2Own 資安大賽上被發現的 0-day 漏洞;用戶應立即更新至最新版本。

據報導指出,這兩個漏洞若遭到駭侵者用於攻擊,將可能導致駭侵者獲得在桌面或行動裝制上執行任意 JavaScript 的權限;受此漏洞影響的 Mozilla 旗下產品,包括 Firefox、Firefox ESR、Firefox for Android、Thunderbird 等。

第一個在 Pwn2Own 大會上發現的 0-day 漏洞 CVE-2022-1802,是一個在頂級等待實作上的原型污染漏洞(prototype pollution in Top-Level Await implementation),駭侵者可藉以在有此漏洞的平台上執行任意 JavaScript 程式碼。

另一個 0-day 漏洞則是藉用濫用 Java 物件索引,給予特定的不正確輸入驗證,同樣可透過原型污染注入攻擊手法,來控制 JavaScript 的執行緒。

Mozilla 在獲悉這兩個漏洞後,很快就在兩天後推出了更新版本;美國資安主管機關網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)也在近日呼籲相關用戶更新此漏洞。

建議所有 Mozilla Firefox 與 Thunderbird 各版本用戶,應立即更新至最新版本,以避免駭侵者利用這兩個 0-day 漏洞發動攻擊。

影響產品

Mozilla Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3、Thunderbird 91.9.1 之前版本。

解決辦法

更新至 Mozilla Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3、Thunderbird 91.9.1 與後續版本。
回頁首