Mozilla官方火速修复Pwn2Own比赛上公开的火狐浏览器漏洞

0

1427260465587

3月18日,全球顶级黑客大赛Pwn2Own2015在加拿大温哥华拉开战幕,各路大神各显神通,Mariusz Mlynski在极短的时间内攻破了火狐浏览器,获得30000美元的巨额奖金。而Mozilla官方在比赛结束之后立即开发补丁,于昨天发布的Firefox 36中修复了此次比赛中公布的2个高危漏洞。

漏洞一

Mozilla定义第一个漏洞为代码执行漏洞。根据安全研究人员ilxu1a的报告,火狐浏览器JavaScript just-in-time compilation (JIT)特性中存在漏洞,该漏洞可被利用于重新读写存储器上的内容,进而在本地系统上执行任意代码。

漏洞二

第二个漏洞是一高危权限提升漏洞,由Mariusz Mlynski发现,编号CVE-2015-0818。

浏览器在处理SVG格式文件的过程中,攻击者可以利用该漏洞绕过同源策略的防护,从而在特权文本中执行任意脚本。

Mlynski在542秒内成功拿下了火狐浏览器,并获得了30000美元的现金奖励。

影响范围

Firefox 36之前的版本、Firefox ESR31.5.2之前的版本、SeaMonkey 2.33.1之前的版本

建议火狐用户尽快将浏览器更新到Firefox 36版本。

Focus On The Network Information Security.

作者主页 邮箱 微博 腾讯微博 QQ Twitter Facebook Google+

发表评论

您的邮箱不会公开,当您的评论有新的回复时,会通过您填写的邮箱向您发送评论内容。 必填字段 *

返回顶部