Mozilla 发布了 Firefox 浏览器更新,以修复上周 Pwn2Own 温哥华 2024 黑客大赛中被利用的两个零日漏洞。
安全研究人员曼弗雷德·保罗发现的这些问题被串联在一起,以逃避浏览器的沙箱并在系统上执行代码。
第一个漏洞编号为 CVE-2024-29943,被描述为越界访问缺陷,可导致绕过范围分析。
“攻击者能够通过欺骗基于范围的边界检查消除来对 JavaScript 对象执行越界读取或写入,”Mozilla 在其文章中解释道。 咨询。
第二个错误 CVE-2024-29944 是事件处理程序中的特权 JavaScript 执行问题,导致沙箱逃逸。
Mozilla 表示:“攻击者能够将事件处理程序注入特权对象,从而允许在父进程中执行任意 JavaScript。”
Mozilla 指出,CVE-2024-29944 仅影响桌面版 Firefox,无法针对移动应用程序进行利用。
Mozilla 表示这两个漏洞都是“严重程度”的错误,但没有提供其中任何一个漏洞的 CVSS 评分。
周五,Mozilla 发布了包含这两个问题补丁的 Firefox 124.0.1,以及包含 CVE-2024-29944 修复程序的 Firefox ESR 115.9.1。 这两个漏洞均于前一天在 Pwn2Own 上被利用并披露。
趋势科技的零日计划 (ZDI) 周四表示:“曼弗雷德·保罗 (Manfred Paul) 使用 OOB Write 进行 RCE 和暴露的危险功能错误来实现 Mozilla Firefox 的沙箱逃逸。”
黑客大赛的参与者 收入超过 110 万美元,保罗宣布本次 Pwn2Own 的获胜者,之后 还黑客攻击 Safari、Chrome 和 Edge 浏览器,并获得超过 200,000 美元的错误赏金奖励。 他因这两个 Firefox 零日漏洞获得了 10 万美元。
有关的: Chrome 123、Firefox 124 补丁严重漏洞
1711390167
#Mozilla #修补了 #Pwn2Own #中利用的 #Firefox #零日漏洞
2024-03-25 14:29:46