按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Mozilla Firefox 修復可能遭遠端執行任意程式碼之 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-20
  • 點閱次數:2736
Mozilla Firefox 修復可能遭遠端執行任意程式碼之 0-day 漏洞 TWCERT/CC

開放源碼瀏覽器 Mozilla Firefox,其開發維護單位 Mozilla Foundation 於日前宣布,修復兩個可能讓駭侵者得以遠端執行任意程式碼的嚴重等級 0-day 資安漏洞。

Mozilla 表示,這兩個漏洞都是屬於「use-after-free」漏洞,而且可能已經大量遭到駭侵者用以發動攻擊。

其中 CVE-2020-6819 這個漏洞和 Firefox 瀏覽器中的「nsDocShell destructor」組件相關,瀏覽器用以讀取 HTTP 檔頭資訊;這裡的程式錯誤可導致駭侵者藉以執行任意程式碼。

另一個漏洞編號為 CVE-2020-6820,問題出在 StreamsAPI 中的 ReadableStream 組件;駭侵者同樣也可利用這個錯誤來遠端執行任意程式碼。

所有受到影響的 Firefox 版本,包括 Firefox 74.0.1 先前所有版本,以及企業用戶的 Firefox Extended Support Release 68.6.1 先前所有版本,作業系統平台包括 Windows、macOS、Linux。

Mozilla 指出,由於已經傳出有駭侵者利用這兩個 0-day 漏洞發動攻擊,因此強烈建議所有 Firefox 用戶立即更新到最新版本,以修補這兩個漏洞。

  • CVE編號:CVE-2020-6819、CVE-2020-6820
  • 影響版本: Firefox 74.0.1 先前所有版本、Firefox ESR 68.6.1 先前所有版本
  • 解決方案:更新至最新版本
回頁首