Firefox 69和Firefox ESR 68.1中的多个关键内存安全错误尤其会影响中型和大型政府实体和企业。
在Mozilla Firefox Web浏览器和Firefox扩展支持版本(ESR)中发现了严重漏洞,并且已报告Google Chrome浏览器存在严重漏洞,所有这些漏洞都可能允许任意代码执行。
这些漏洞是作为较大更新(Chrome 78稳定版,Firefox 70和Firefox ESR 68.2)更新的一部分宣布的,该更新还包括针对高严重性和中度漏洞的若干修复程序。
“根据与用户相关的特权,攻击者随后可以安装程序;查看,更改或删除数据;或创建具有完全用户权限的新帐户,” MS-ISAC在一封电子邮件咨询中表示。“其帐户被配置为在系统上具有较少用户权限的用户,比那些具有管理用户权限的用户受到的影响要小。”
Mozilla Firefox错误
一个跟踪器CVE-2019-11764包含了Firefox 69和Firefox ESR 68.1中的多个关键内存安全错误。
Mozilla基金会在周二发布的咨询报告中说:“其中一些错误表明存在内存损坏的迹象,我们认为,只要有足够的努力,就可以利用其中的一些漏洞来运行任意代码。”
根据多状态信息共享和分析中心(MS-ISAC),此错误的影响取决于特权级别。报告还说,大中型政府实体和企业面临的风险最大。
Mozilla还通过该更新修补了许多其他漏洞。其中,三个严重级别被评为“高”,五个被评为“中等”。
Firefox ESR中的高严重性漏洞包括XML_GetCurrentLineNumber(CVE-2019-15903)的expat库中的堆溢出;由于360全面安全性(CVE-2019-11758)导致潜在的可利用崩溃; 以及在IndexedDB中创建索引更新(CVE-2019-11757)时会发生的使用后使用错误。
Firefox ESR中的中等问题包括HKDF输出中的堆栈缓冲区溢出(CVE-2019-11759); WebRTC网络中的堆栈缓冲区溢出(CVE-2019-11760); 意外访问特权JSONView对象(CVE-2019-11761); 不正确的HTML解析导致跨站点脚本(XSS)绕过技术(CVE-2019-11763); 并且基于document.domain的原始隔离具有违反同源资源的事实(CVE-2019-11762)。
Mozilla Firefox中的高严重性漏洞包括Firefox ESR中发现的CVE-2019-15903和CVE-2019-11757,以及WebRTC中FEC处理中的堆缓冲区溢出(CVE-2018-6156)。
中等问题包括在Firefox ESR中发现并在上面进行了详细介绍的所有问题,以及使用带有数据的对象标签的CSP绕过:URI(CVE-2019-17000);当指定script-src'none'时使用对象标记的附加CSP绕过(CVE-2019-17001); 可能会向网站授予错误的权限(CVE-2019-11765);以及因拖放链接而导致的升级不安全请求不兑现的事实(CVE-2019-17002)。
MS-ISAC建议在进行适当的测试后立即进行修补。其他最佳做法包括默认情况下以非特权用户身份运行所有软件,并将最小特权原则应用于所有系统和服务;并提醒用户不要访问不受信任的网站或访问不受信任的链接。
谷歌浏览器错误
在谷歌浏览器的更新包括37个安全修补程序,其中最严重的赢得了记者(万裕莫Semmle安全研究小组的)新台币$ 20,000元奖金。CVE-2019-13699是媒体中的一个严重性很高的``使用后使用''漏洞。目前尚无详细信息,但MS-ISAC表示,成功利用漏洞可以使攻击者在浏览器的上下文中执行任意代码,获取敏感信息,绕过安全限制并执行未经授权的操作或导致拒绝服务的情况。
此更新中修复的其他两个高严重性错误是CVE-2019-13700,它是Blink中的缓冲区溢出;和CVE-2019-13701,这是导航中的URL欺骗。
Google还修补了一些中度和低度漏洞,从特权升级和CSP绕过到越界读取和缓冲区溢出。
目前火狐浏览器70版本和谷歌浏览器78版本都已推出新版,请各位自行更新!
原文始发于微信公众号(红数位):Firefox69,Chrome77错误允许任意代码执行
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论