Firefox |安全漏洞通告

发布时间 2020-04-14

0x00 漏洞概述


产品

CVE ID

类 型

漏洞等级

远程利用

影响范围

Firefox

CVE-2020-6821

信息泄露

高危

Firefox < 75

Firefox

CVE-2020-6822

缓冲区溢出

中危

Firefox < 75

Firefox ESR < 68.7

Firefox

CVE-2020-6823

信息泄露

中危

Firefox < 74

Firefox

CVE-2020-6824

越权访问

中危

Firefox < 75

Firefox

CVE-2020-6825

内存破坏

高危

Firefox ESR 68.6

Firefox 74

Firefox

CVE-2020-6826

内存破坏

高危

Firefox 74


0x01 漏洞详情




Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。

2020年4月7日,Mozilla在其安全通告中批露其修复了六个漏洞,具体如下:

CVE-2020-6821是当使用WebGL的copyTexSubImage方法从源资源中读取数据时,规范要求返回值为零。但此内存未初始化,导致潜在的敏感数据泄露。

CVE-2020-6822是在GMPDecodeData中处理大于4 GB的图像时,可能会发生越界写入。攻击者可利用该漏洞实行任意代码。

CVE-2020-6823是恶意扩展程序通过调用browser.identity.launchWebAuthFlow来控制redirect_uri,并获得Auth代码,在服务提供商处访问用户的帐户。

CVE-2020-6824是在两次打开私人浏览窗口时,程序生成相同的密码(前提:Firefox一直处于打开状态)。攻击者可借助特制的网站利用该漏洞获取系统未授权的访问权限。

CVE-2020-6825是在Mozilla Firefox ESR 68.6版本和Firefox 74版本中存在内存安全性错误。攻击者可利用该漏洞损坏内存或可能实行任意代码。

CVE-2020-6826是在Firefox 74版本中存在内存安全性错误。攻击者可利用该漏洞破坏内存并实行任意代码。


0x02 处置建议


厂商已发布升级补丁,下载链接:

https://www.mozilla.org/en-US/security/advisories/mfsa2020-12/


0x03 相关资讯

https://www.auscert.org.au/bulletins/ESB-2020.1228/


0x04 参考链接

https://www.mozilla.org/en-US/security/advisories/mfsa2020-12/


0x05 时间线

2020-04-07 Firefox官方发布漏洞

2020-04-10 CVE发布该漏洞