【漏洞名称】Firefox远程代码执行漏洞
【漏洞编号】CVE-2020-6819、CVE-2020-6820
【漏洞等级】:高危
【漏洞背景】
2020年4月3日,Mozilla在其安全通告中批露修复了两个针对Firefox浏览器的在野0day漏洞(CVE-2020-6819、CVE-2020-6820)。
CVE-2020-6819是浏览器在某些条件下,运行nsDocShell析构函数时,竞争条件会导致UAF漏洞。
CVE-2020-6820则是浏览器在某些条件下,处理ReadableStream时,竞争条件可能会导致UAF漏洞。
这两个漏洞Mozilla都提示发现有针对性的在野漏洞利用攻击,Firefox官方建议用户尽快升级浏览器到最新版本。
【漏洞利用】
攻击者可能利用漏洞构造页面,诱导用户点击运行恶意代码执行,从而获得受害者系统控制权。
【漏洞影响】
漏洞已在Firefox 74.0.1,Firefox ESR 68.6.1版本中修复,Firefox浏览器有大约7%的市场占有率。
强烈建议Firefox用户尽快升级以解决风险。
【安全建议】
目前Firefox官方已修复该漏洞,建议用户升级浏览器至Firefox74.0.1或Firefox ESR 68.6.1版本。
【参考资料】
Mozilla Foundation Security Advisory 2020-11
Security Vulnerabilities fixed in Firefox 74.0.1 and Firefox ESR 68.6.1
https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/