火狐浏览器 (Mozilla Firefox)是 Mozilla 基金会的产品 , 它是一款开源 Web 浏览器 , 引擎反应快 , 内存占用少。Firefox 从 2005 年开始,每年都被媒体选为年度最佳浏览器。
11 月 17 日,Mozilla 发布了 Firefox 83 版 , Firefox ESR 78.5 企业版紧急安全更新,主要修复了先前版本发现的任意代码执行和跨站脚本攻击等重要漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2020-26968,CVE-2020-26969 严重程度:高
Firefox 82 和 Firefox ESR 78.4 中存在内存安全漏洞,该漏洞允许攻击者利用来执行任意代码
2.CVE-2020-26951 严重程度:高
Firefox 的 SVG 代码中的解析和事件加载不匹配可能导致加载事件被触发,即使在清除之后也是如此。已经能够利用特权内部页面中的 XSS 漏洞的攻击者可以利用此攻击绕过内置安全清理程序。
3.CVE-2020-26952 严重程度:高
在 JIT编译期间内联的函数的不正确记账可能会导致内存损坏,并且在处理内存不足错误时可能导致可利用的崩溃。
4.CVE-2020-26956 严重程度:中
在某些情况下,在清理过程中删除 HTML 元素将保留现有的 SVG 事件处理程序,因此会导致 XSS 跨站脚本攻击 (XSS 攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序)
5.CVE-2020-16012 严重程度:中
在未知的跨原图图像上绘制透明图像时,Skia 库 drawImage 函数会花费可变的时间,具体取决于基础图像的内容。这导致通过定时边沿攻击可能导致图像内容的跨域信息暴露。
受影响产品和版本
上述漏洞影响 Firefox v82 及更早版本 , Firefox ESR 78.4 及更早版本
解决方案
Mozilla 已经发布了安全更新 , 升级 Firefox v83 版本 , Firefox ESR 78.5 版本版本可修复
查看更多漏洞信息 以及升级请访问官网:
https://www.mozilla.org/en-US/security/advisories/mfsa2020-50/
相关文章
Firefox 火狐浏览器上架微软 Win11/Win10 应用商店
2021-11-05Mozilla Firefox 成与Chromium浏览器对抗的唯一替代者
2020-12-01Firefox 火狐浏览器 85 将不再支持 Adobe Flash
2020-11-19Firefox 火狐浏览器 83 发布,已修复任意代码执行漏洞
2020-11-19Firefox 80稳定版可作为系统默认PDF阅读器
2020-08-26Firefox 火狐浏览器 80 正式版发布
2020-08-26Mozilla 续签 Firefox 与 Google 的搜索交易
2020-08-15Firefox 火狐浏览器 79 正式版发布
2020-07-29Win10 Edge 为什么要导入 Firefox 和 Chrome数据
2020-07-02Mozilla 正式发布 Firefox 火狐浏览器 78 版本
2020-07-02