Mozilla 在 22 小時內(nèi)修復(fù)了 Firefox 中的一個零日漏洞

責(zé)任編輯:editor004

2017-03-21 11:55:29

摘自:cnBeta.COM

在上周的 Pwn2Own 大賽上,有白帽發(fā)現(xiàn)了 Firefox 瀏覽器里的一個零日漏洞,而 Mozilla 方面只用了 22 個小時進行修復(fù),并且給予其 3 萬美元的獎勵。該漏洞由中國長亭安全研究實驗室發(fā)現(xiàn),并結(jié)合一個 Windows 內(nèi)核緩沖區(qū) bug 成功地進行了提權(quán)。

在上周的 Pwn2Own 大賽上,有白帽發(fā)現(xiàn)了 Firefox 瀏覽器里的一個零日漏洞,而 Mozilla 方面只用了 22 個小時進行修復(fù),并且給予其 3 萬美元的獎勵。周五新發(fā)布的 Firefox 52.0.1 已經(jīng)包含了最新的補丁,F(xiàn)irefox OS 部門的 Asa Dotzler 和 Mozilla 安全團隊成員 Daniel Veditz 在 Twitter 上證實了這一點。

mozilla-fixes-critical-vulnerability-in-firefox-22-hours-after-discovery-514095-2.jpg

該漏洞由中國長亭安全研究實驗室發(fā)現(xiàn),并結(jié)合一個 Windows 內(nèi)核緩沖區(qū) bug 成功地進行了提權(quán)。Mozilla 頒發(fā)的 30000 美元獎金,也從側(cè)面表明了該漏洞的嚴(yán)重性。

Mozilla 在一封安全公告中稱:該公司將 createImageBitmap() 中的整數(shù)溢出漏洞標(biāo)記為“嚴(yán)重”(Critical),不過它已經(jīng)在最新版 Firefox 瀏覽器中被修復(fù)(通過禁用 createImageBitmap API 的實驗性擴展)。

20170317 Daniel Veditz - Twitter.jpg

Mozilla 還聲稱,鑒于該整數(shù)型(int)函數(shù)是在內(nèi)容沙盒中運行的,所以還需要另一個漏洞的配合才能對用戶的計算機造成實際損害,比如長亭(Chaitin)安全研究實驗室所利用的這個 Windows 內(nèi)核漏洞。

在本次 Pwn2Own 大賽中,觀眾們對于微軟(IE)和蘋果(Safari)的產(chǎn)品攻防戰(zhàn)也充滿了期待。今年競賽選手一共斬獲了 83.3 萬美元的獎金,較去年幾乎翻了一番(2016 年為 46 萬美金 / 2015 年為 57.7 萬美金)。

Mozilla Firefox 52.0.1 下載地址:

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號