Firefox |安全漏洞通告
发布时间 2020-04-140x00 漏洞概述
产品 |
CVE ID |
类 型 |
漏洞等级 |
远程利用 |
影响范围 |
Firefox |
CVE-2020-6821 |
信息泄露 |
高危 |
是 |
Firefox < 75 |
Firefox |
CVE-2020-6822 |
缓冲区溢出 |
中危 |
是 |
Firefox < 75 Firefox ESR < 68.7 |
Firefox |
CVE-2020-6823 |
信息泄露 |
中危 |
是 |
Firefox < 74 |
Firefox |
CVE-2020-6824 |
越权访问 |
中危 |
是 |
Firefox < 75 |
Firefox |
CVE-2020-6825 |
内存破坏 |
高危 |
是 |
Firefox ESR 68.6 Firefox 74 |
Firefox |
CVE-2020-6826 |
内存破坏 |
高危 |
是 |
Firefox 74 |
0x01 漏洞详情
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。
2020年4月7日,Mozilla在其安全通告中批露其修复了六个漏洞,具体如下:
CVE-2020-6821是当使用WebGL的copyTexSubImage方法从源资源中读取数据时,规范要求返回值为零。但此内存未初始化,导致潜在的敏感数据泄露。
CVE-2020-6822是在GMPDecodeData中处理大于4 GB的图像时,可能会发生越界写入。攻击者可利用该漏洞执行任意代码。
CVE-2020-6823是恶意扩展程序通过调用browser.identity.launchWebAuthFlow来控制redirect_uri,并获得Auth代码,在服务提供商处访问用户的帐户。
CVE-2020-6824是在两次打开私人浏览窗口时,程序生成相同的密码(前提:Firefox一直处于打开状态)。攻击者可借助特制的网站利用该漏洞获取系统未授权的访问权限。
CVE-2020-6825是在Mozilla Firefox ESR 68.6版本和Firefox 74版本中存在内存安全性错误。攻击者可利用该漏洞损坏内存或可能执行任意代码。
CVE-2020-6826是在Firefox 74版本中存在内存安全性错误。攻击者可利用该漏洞破坏内存并执行任意代码。
0x02 处置建议
厂商已发布升级补丁,下载链接:
https://www.mozilla.org/en-US/security/advisories/mfsa2020-12/
0x03 相关新闻
https://www.auscert.org.au/bulletins/ESB-2020.1228/
0x04 参考链接
https://www.mozilla.org/en-US/security/advisories/mfsa2020-12/
0x05 时间线
2020-04-07 Firefox官方发布漏洞
2020-04-10 CVE发布该漏洞