360女黑客發現Firefox高危漏洞獲獎4000美元
責編:mhshi |2016-09-27 15:58:069月20日,Mozilla發布了Firefox49.0版本,共修復了18個安全漏洞,其中包括一個來自360信息安全部Gear Team的女安全研究員“王大狀”, 漏洞編號CVE-2016-5280,為此Mozilla基金會根據自身漏洞獎勵給予了 360女黑客4000 美元的獎勵。
360女黑客發現Firefox高危漏洞獲獎4000美元
其中 CVE-2016-5280是一個UAF(Use-After-Free)漏洞,存在于dom/base/DirectionalityUtils.cpp中。當DOM節點的屬性“dir”發生改變時,會導致釋放重用,并導致遠程代碼執行或遠程拒絕服務,Firefox47, 48版本均會受到影響。 除此之外,Firefox49.0還修復了一個可造成中間人攻擊和遠程代碼執行的漏洞。該漏洞允許攻擊者使用瀏覽器信任的CA機構簽發偽造的addons.mozilla.org服務器證書,中間人攻擊者通過攔截升級請求,返回偽造的惡意升級元數據文件,下載惡意擴展載體,并進行靜默安裝,獲取代碼執行權限。
建議Firefox瀏覽器用戶盡快升級到最新版本。