Mozilla Firefox URL mPath信息泄露漏洞(CVE-2020-12418)风险通告

2020-07-02 11:25:31
Mozilla Firefox Firefox Nightly版本78.0a1 x64和Firefox版本76.0.2 x64的URL mPath功能中存在一个信息泄露漏洞。特制的URL对象可能会导致越界读取。攻击者可以访问网页来触发此漏洞。

【漏洞编号】CVE-2020-12418 

【漏洞摘要】

Mozilla Firefox Firefox Nightly版本78.0a1 x64Firefox版本76.0.2 x64URL mPath功能中存在一个信息泄露漏洞。特制的URL对象可能会导致越界读取。攻击者可以访问网页来触发此漏洞。 


【漏洞等级】
严重


【漏洞描述】

该漏洞与URL对象有关。使用适当URL对象状态的恶意网页可能会泄漏浏览器内存,从而帮助攻击者绕过ASLR并执行任意代码。JavaScript代码在URL对象中设置了正确的状态,这会导致内存泄漏。泄漏内存可用于绕过ASLR,并且与其他漏洞结合使用,可能会使攻击者获得任意代码执行权。 

Mozilla Firefox是世界上最流行的网络浏览器之一,可用于各种不同的平台:Windows,Linux,OSX,Android等。 


【漏洞影响版本】

Mozilla Firefox Firefox Nightly 78.0a1 x64

Mozilla Firefox Firefox 76.0.2 x64


该漏洞已经修复,腾讯安全专家提醒用户将firefox浏览器升级到最新。


操作方法:点击firefox浏览器工具栏最右边的菜单按钮,依次点击帮助->关于,升级更新浏览器即可。


【参考链接】

https://talosintelligence.com/vulnerability_reports/TALOS-2020-1088

最新资讯