在上周的 Pwn2Own 大賽上,有白帽發(fā)現(xiàn)了 Firefox 瀏覽器里的一個零日漏洞,而 Mozilla 方面只用了 22 個小時進行修復(fù),并且給予其 3 萬美元的獎勵。周五新發(fā)布的 Firefox 52.0.1 已經(jīng)包含了最新的補丁,F(xiàn)irefox OS 部門的 Asa Dotzler 和 Mozilla 安全團隊成員 Daniel Veditz 在 Twitter 上證實了這一點。
該漏洞由中國長亭安全研究實驗室發(fā)現(xiàn),并結(jié)合一個 Windows 內(nèi)核緩沖區(qū) bug 成功地進行了提權(quán)。Mozilla 頒發(fā)的 30000 美元獎金,也從側(cè)面表明了該漏洞的嚴(yán)重性。
Mozilla 在一封安全公告中稱:該公司將 createImageBitmap() 中的整數(shù)溢出漏洞標(biāo)記為“嚴(yán)重”(Critical),不過它已經(jīng)在最新版 Firefox 瀏覽器中被修復(fù)(通過禁用 createImageBitmap API 的實驗性擴展)。
Mozilla 還聲稱,鑒于該整數(shù)型(int)函數(shù)是在內(nèi)容沙盒中運行的,所以還需要另一個漏洞的配合才能對用戶的計算機造成實際損害,比如長亭(Chaitin)安全研究實驗室所利用的這個 Windows 內(nèi)核漏洞。
在本次 Pwn2Own 大賽中,觀眾們對于微軟(IE)和蘋果(Safari)的產(chǎn)品攻防戰(zhàn)也充滿了期待。今年競賽選手一共斬獲了 83.3 萬美元的獎金,較去年幾乎翻了一番(2016 年為 46 萬美金 / 2015 年為 57.7 萬美金)。
Mozilla Firefox 52.0.1 下載地址: