首页 > 安全钻研 > 安全传递 > 安全公告

Firefox |安全缝隙公告

颁布功夫 2020-04-14

0x00 缝隙概述

产品	CVE ID	类型	缝隙等级	远程利用	影响领域
Firefox	CVE-2020-6821	信息泄露	高危	是	Firefox < 75
Firefox	CVE-2020-6822	缓冲区溢出	中危	是	Firefox < 75 Firefox ESR < 68.7
Firefox	CVE-2020-6823	信息泄露	中危	是	Firefox < 74
Firefox	CVE-2020-6824	越权接见	中危	是	Firefox < 75
Firefox	CVE-2020-6825	内存粉碎	高危	是	Firefox ESR 68.6 Firefox 74
Firefox	CVE-2020-6826	内存粉碎	高危	是	Firefox 74

0x01 缝隙详情

GA黄金甲·(中国区)官方网站

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。

2020年4月7日，Mozilla在其安全公告中批露其建复了六个缝隙，具体如下：

CVE-2020-6821是当使用WebGL的copyTexSubImage步骤从源资源中读取数据时，规范要求返回值为零。但此内存未初始化，导致潜在的敏感数据泄露。

CVE-2020-6822是在GMPDecodeData中处置大于4 GB的图像时，可能会产生越界写入。攻击者可利用该缝隙执行肆意代码。

CVE-2020-6823是恶意扩大法式通过挪用browser.identity.launchWebAuthFlow来节造redirect_uri，并获得Auth代码，在服务提供商处接见用户的帐户。

CVE-2020-6824是在两次打开个人浏览窗口时，法式天生一样的密码（前提：Firefox一向处于打开状态）。攻击者可借助特造的网站利用该缝隙获取系统未授权的接见权限。

CVE-2020-6825是在Mozilla Firefox ESR 68.6版本和Firefox 74版本中存在内存安全性谬误。攻击者可利用该缝隙败坏内存或可能执行肆意代码。

CVE-2020-6826是在Firefox 74版本中存在内存安全性谬误。攻击者可利用该缝隙粉碎内存并执行肆意代码。

0x02 措置建议

厂商已颁布升级补丁，下载链接：

https://www.mozilla.org/en-US/security/advisories/mfsa2020-12/

0x03 有关新闻

https://www.auscert.org.au/bulletins/ESB-2020.1228/

0x04 参考链接

https://www.mozilla.org/en-US/security/advisories/mfsa2020-12/

0x05 功夫线

2020-04-07 Firefox官方颁布缝隙

2020-04-10 CVE颁布该缝隙

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Firefox |安全缝隙公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线