Mozilla Firefox 修復可能遭遠端執行任意程式碼之 0-day 漏洞
- 發布單位:TWCERT/CC
- 更新日期:2020-05-20
- 點閱次數:2736
開放源碼瀏覽器 Mozilla Firefox,其開發維護單位 Mozilla Foundation 於日前宣布,修復兩個可能讓駭侵者得以遠端執行任意程式碼的嚴重等級 0-day 資安漏洞。
Mozilla 表示,這兩個漏洞都是屬於「use-after-free」漏洞,而且可能已經大量遭到駭侵者用以發動攻擊。
其中 CVE-2020-6819 這個漏洞和 Firefox 瀏覽器中的「nsDocShell destructor」組件相關,瀏覽器用以讀取 HTTP 檔頭資訊;這裡的程式錯誤可導致駭侵者藉以執行任意程式碼。
另一個漏洞編號為 CVE-2020-6820,問題出在 StreamsAPI 中的 ReadableStream 組件;駭侵者同樣也可利用這個錯誤來遠端執行任意程式碼。
所有受到影響的 Firefox 版本,包括 Firefox 74.0.1 先前所有版本,以及企業用戶的 Firefox Extended Support Release 68.6.1 先前所有版本,作業系統平台包括 Windows、macOS、Linux。
Mozilla 指出,由於已經傳出有駭侵者利用這兩個 0-day 漏洞發動攻擊,因此強烈建議所有 Firefox 用戶立即更新到最新版本,以修補這兩個漏洞。
- CVE編號:CVE-2020-6819、CVE-2020-6820
- 影響版本: Firefox 74.0.1 先前所有版本、Firefox ESR 68.6.1 先前所有版本
- 解決方案:更新至最新版本