• 發布單位:TWCERT/CC
• 更新日期:2020-06-08
• 點閱次數:2039

廣受歡迎的開放源碼瀏覽器 Mozilla Firefox，近日針對兩個嚴重的資安漏洞，推出安全更新。

這兩個得到更新的資安漏洞，其 CVE 編號分別為 CVE-2020-12410 與 CVE-2020-12411；這兩個漏洞都發生在 Mozilla Firefox 在處理各種記憶體管理與資料加密時發生的記憶體崩潰與緩衝區溢位錯誤，可能導致駭侵者利用此漏洞執行任意程式碼，造成嚴重的資安風險。

CVE-12410 的資安危險程度評分高達 7.5 分，其危險評級為「高」；目前尚未傳出有任何駭侵攻擊行動是基於這兩個漏洞進行。

這兩個漏洞由 Mozilla 開發者 Tom Tung 和 Jarl Tomlinson 發現並提報給 Moziila，在 Firefox 多個版本，包括一般版的 Firefox 76.x 與先前版本、提供企業支援的 Firefox 68.9.0ESR 與先前版本，以及基於 Firefox 68.9.0ESR 的 Tor 私密瀏覽器 9.5，都含有這兩個漏洞。

這次更新另外還修補了多個危險層級較低的資安漏洞與錯誤，仍在使用舊版 Firefox 的用戶，應儘速安裝最新資安更新軟體，以避免因這些漏洞未及時修補而遭不必要的駭侵攻擊。只要透過 Firefox 內建的系統更新機制操作，即可下載並更新至最新版本 Mozilla Firefox。

• CVE編號：CVE-2020-12410、CVE-2020-12411
• 影響版本：一般版的 Firefox 76.x 與先前版本、提供企業支援的 Firefox 68.9.0ESR 與先前版本，以及基於 Firefox 68.9.0ESR 的 Tor 私密瀏覽器 9.5
• 解決方案：透過 Firefox 內建的系統更新機制，下載並更新至最新版本 Mozilla Firefox。