Mozilla 修复已遭利用的两个火狐浏览器 0day

Eduard Kovacs 代码卫士 2022-05-23

聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

Mozilla 发布火狐 web 浏览器更新，修复了两个已遭利用的严重的释放后使用漏洞。

其中一个漏洞 CVE-2020-6819 被描述为由竞争条件引发的释放后使用漏洞，该竞争条件由运行 nsDocShell 析构函数时的某种条件触发。Tenable 公司的研究人员分析补丁后指出，这些问题是由“mContentViewer 未被正确发布”造成的。

第二个漏洞 CVE-2020-6820被描述为由处理 ReadableStream时触发的竞争条件而引发的释放后使用漏洞。

这两个漏洞均在 Firefox 74.0.1 和 Firefox ESR 68.6.1 版本中修复。Paul Ducklin 认为这两个漏洞可能从2019年7月开始就存在。

Ducklin 解释称，“鉴于最新的和 ESR 版本需修复，我们认为该漏洞至少首次出现于版本68中的火狐代码库中，也就是2019年7月，或者是版本68.0安全修复方案产生的副作用。”

Mozilla 对发现这两个漏洞的研究员 Francisco Alonso 和 Javier Marcos 表示感谢。Alonso 还对 Mozilla 公司处理漏洞报告的方式表示赞赏，同时认为其它浏览器也或受影响。

美国网络安全和基础设施安全局 (CISA) 建议用户尽快更新火狐浏览器。

这并非 Mozilla 公司在2020年修复的首个火狐浏览器 0day 漏洞。1月份，Mozilla 修复了结合利用 IE 0day 和火狐缺陷攻击中国和日本的 0day，而有国内安全公司指出这些攻击是由被指为和韩国存在关联的APT 组织 DarkHotel 所为。

推荐阅读

两年了火狐仍未修复某 0day，不料又一个新0day出现仨月了

原文链接

https://www.securityweek.com/mozilla-patches-two-firefox-vulnerabilities-exploited-attacks

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

点个“在看”，一起玩耍