• 發布單位:TWCERT/CC
• 更新日期:2020-05-20
• 點閱次數:2561

開放源碼瀏覽器 Mozilla Firefox，其開發維護單位 Mozilla Foundation 於日前宣布，修復兩個可能讓駭侵者得以遠端執行任意程式碼的嚴重等級 0-day 資安漏洞。

Mozilla 表示，這兩個漏洞都是屬於「use-after-free」漏洞，而且可能已經大量遭到駭侵者用以發動攻擊。

其中 CVE-2020-6819 這個漏洞和 Firefox 瀏覽器中的「nsDocShell destructor」組件相關，瀏覽器用以讀取 HTTP 檔頭資訊；這裡的程式錯誤可導致駭侵者藉以執行任意程式碼。

另一個漏洞編號為 CVE-2020-6820，問題出在 StreamsAPI 中的 ReadableStream 組件；駭侵者同樣也可利用這個錯誤來遠端執行任意程式碼。

所有受到影響的 Firefox 版本，包括 Firefox 74.0.1 先前所有版本，以及企業用戶的 Firefox Extended Support Release 68.6.1 先前所有版本，作業系統平台包括 Windows、macOS、Linux。

Mozilla 指出，由於已經傳出有駭侵者利用這兩個 0-day 漏洞發動攻擊，因此強烈建議所有 Firefox 用戶立即更新到最新版本，以修補這兩個漏洞。

• CVE編號：CVE-2020-6819、CVE-2020-6820
• 影響版本: Firefox 74.0.1 先前所有版本、Firefox ESR 68.6.1 先前所有版本
• 解決方案：更新至最新版本