您的位置:首页 > 电脑软件

Firefox 火狐浏览器 83 发布,已修复任意代码执行漏洞

发布时间:2020-11-18 00:00:00  来源:互联网     背景:

  火狐浏览器 (Mozilla Firefox)是 Mozilla 基金会的产品 , 它是一款开源 Web 浏览器 , 引擎反应快 , 内存占用少。Firefox 从 2005 年开始,每年都被媒体选为年度最佳浏览器。

  11 月 17 日,Mozilla 发布了 Firefox 83 版 , Firefox ESR 78.5 企业版紧急安全更新,主要修复了先前版本发现的任意代码执行和跨站脚本攻击等重要漏洞。以下是漏洞详情:

  漏洞详情

  1.CVE-2020-26968,CVE-2020-26969 严重程度:高

  Firefox 82 和 Firefox ESR 78.4 中存在内存安全漏洞,该漏洞允许攻击者利用来执行任意代码

  2.CVE-2020-26951 严重程度:高

  Firefox 的 SVG 代码中的解析和事件加载不匹配可能导致加载事件被触发,即使在清除之后也是如此。已经能够利用特权内部页面中的 XSS 漏洞的攻击者可以利用此攻击绕过内置安全清理程序。

  3.CVE-2020-26952 严重程度:高

  在 JIT编译期间内联的函数的不正确记账可能会导致内存损坏,并且在处理内存不足错误时可能导致可利用的崩溃。

  4.CVE-2020-26956 严重程度:中

  在某些情况下,在清理过程中删除 HTML 元素将保留现有的 SVG 事件处理程序,因此会导致 XSS 跨站脚本攻击 (XSS 攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序)

  5.CVE-2020-16012 严重程度:中

  在未知的跨原图图像上绘制透明图像时,Skia 库 drawImage 函数会花费可变的时间,具体取决于基础图像的内容。这导致通过定时边沿攻击可能导致图像内容的跨域信息暴露。

  受影响产品和版本

  上述漏洞影响 Firefox v82 及更早版本 , Firefox ESR 78.4 及更早版本

  解决方案

  Mozilla 已经发布了安全更新 , 升级 Firefox v83 版本 , Firefox ESR 78.5 版本版本可修复

  查看更多漏洞信息 以及升级请访问官网:

  https://www.mozilla.org/en-US/security/advisories/mfsa2020-50/

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
堪比永恒之蓝:安全狗发布Windows远程桌面服务漏洞修复方案
2019年5月14日,微软发布了针对远程桌面服务的远程执行代码漏洞CVE-2019-0708的修复程序。该漏洞是预......
日期:05-16
AMD 霄龙发布会现场实拍:双路EPYC,超大被动散热器
8月8日消息 旧金山时间8月7日下午,AMD召开发布会,正式推出了7nm EPYC 7002系列处理器,最高64核12......
日期:08-08
微软让Win10浅色主题越来越养眼:摒弃酷炫的黑暗模式
跟苹果一样,微软也在调整Windows 10系统主题风格,主要来说就是,让浅色主题模式看起来更加养眼。...
日期:04-27
腾讯手机管家联动哈尔滨警方推“警民亲情守护”功能,开启防御电信网络诈骗的新路径
从诈骗电话到诈骗短信,不法分子精心设计骗局,一些用户因此不幸遭遇财产损失。面对电信网络诈骗,......
日期:05-23
Windows 10 19H1最新预览版Build 18234发布
面向那些启用Skip Ahead选项的Fast通道用户,微软于今天发布了Windows 10 Build 18234预览版更新。......
日期:09-07
微软Windows 10计算器更新:全面支持三角学、 函数(f)
10月16日消息 Windows 10系统内置了一款计算器,也可以从应用商店下载,并且具有一些专用于更高级工......
日期:10-16
官宣!YY直播牵手小米直播,探索直播行业新生态
11月13日,YY欢聚时代宣布与小米达成战略合作,YY直播成为小米直播娱乐秀场内容独家战略合作伙伴,......
日期:11-13
深度操作系统 2020.11.11 更新发布:内核升级
今日,深度操作系统宣布 2020.11.11 更新现已发布。本次更新包括升级内核、Debian 10.6 仓库以及系......
日期:11-11
大一统!Twitter网页端将采用PWA应用界面
Twitter(推特)今天宣布,已经开始测试一种新的网络体验。对于Twitter的PWA(渐进式网页应用)的用户来......
日期:09-08
360手机卫士联手深圳警方 用大数据技术打击电信骚扰
深圳市第六次打击整治骚扰信息专项行动取得阶段性成果,于5月29日上午10点,召开了深圳市第六次打击......
日期:05-29
Python 3.8.0稳定版正式发布
10月15日消息 Python是一种面向对象的动态类型语言,最初被设计用于编写自动化脚本,随着版本的不断......
日期:10-15
直击RSAC2018热点 360聚焦网络安全三大趋势
美国时间4月16—20日,一年一度的安全行业盛会RSA Conference(RSA2018)在美国旧金山市中心召开......
日期:04-18
化繁为简 极至安全
ZoomEye BE 钟馗之眼商业版4月上线,即引发大量企业客户关注,在使用中,很多企业客户对产品有了更......
日期:07-18
RW夺冠之路最强装备 魔霸2澎湃战力成就英雄
LOL洲际赛LPL冠军完美收官,RW战队力挽狂澜勇夺桂冠。RW战队今年表现优异,一路高歌猛进,除......
日期:07-11
四级信息数据库 兔博士 一个不普通的查房价工具
近年来,城市中买房需求激增,广大消费者最迫切想要了解的就是房价。在这样的大环境下,兔博士作为......
日期:10-23
谷歌Chrome浏览器测试新功能:解决爱吃内存问题
10月15日消息 谷歌Chrome浏览器是Windows上占用资源最多的应用程序之一,如果安装扩展程序或打开过......
日期:10-15
梭子鱼加速电子邮件安全解决方案发展战略
云安全解决方案供应商梭子鱼网络于近期宣布其电子邮件安全业务在2019财年加速增长,已达到2亿美元的......
日期:08-21
“僵尸过境”你怕了吗?360安全大脑拉开红色警戒
万圣节刚刚过去,一大批“僵尸”就向我们飞奔过来了!最近,360Netlab公布了一个规模庞大......
日期:11-02
微软 Q&A 正式上线,替代 MSDN 和 TechNet 论坛
5月19日消息 去年10月份,微软宣布将用新的Microsoft Q&A代替MSDN和TechNet论坛。Microsoft Q...
日期:05-19
想要潮,就去得物(毒)APP瞧一瞧
鄙人不才,自认为也是潮流圈的一个弄潮儿,身边也有众多潮流圈好友,不管我们风格如何迥异,大家却都有......
日期:02-05