按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Mozilla 修復於 Pwn2Own 大賽中遭發現的 Firefox、Thunderbird 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-05-26
  • 點閱次數:2153
Mozilla 修復於 Pwn2Own 大賽中遭發現的 Firefox、Thunderbird 0-day 漏洞 TWCERT/CC

Mozilla 近日對旗下多種軟體產品推出資安更新,主要修復兩個存於 Firefox、Thunderbird 中,在今(2022)年於加拿大溫哥華舉辦的 Pwn2Own 資安大賽上被發現的 0-day 漏洞;用戶應立即更新至最新版本。

據報導指出,這兩個漏洞若遭到駭侵者用於攻擊,將可能導致駭侵者獲得在桌面或行動裝制上執行任意 JavaScript 的權限;受此漏洞影響的 Mozilla 旗下產品,包括 Firefox、Firefox ESR、Firefox for Android、Thunderbird 等。

第一個在 Pwn2Own 大會上發現的 0-day 漏洞 CVE-2022-1802,是一個在頂級等待實作上的原型污染漏洞(prototype pollution in Top-Level Await implementation),駭侵者可藉以在有此漏洞的平台上執行任意 JavaScript 程式碼。

另一個 0-day 漏洞則是藉用濫用 Java 物件索引,給予特定的不正確輸入驗證,同樣可透過原型污染注入攻擊手法,來控制 JavaScript 的執行緒。

Mozilla 在獲悉這兩個漏洞後,很快就在兩天後推出了更新版本;美國資安主管機關網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)也在近日呼籲相關用戶更新此漏洞。

建議所有 Mozilla Firefox 與 Thunderbird 各版本用戶,應立即更新至最新版本,以避免駭侵者利用這兩個 0-day 漏洞發動攻擊。

  • CVE編號:CVE-2022-1802、CVE-2022-1529
  • 影響產品(版本):Mozilla Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3、Thunderbird 91.9.1 之前版本。
  • 解決方案:更新至 Mozilla Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3、Thunderbird 91.9.1 與後續版本。
回頁首