火狐浏览器(Mozilla Firefox)是由Mozilla基金会开发的一款开源Web浏览器,以其快速的引擎和较低的内存占用而受到用户喜爱。自2005年推出以来,它每年都被媒体评选为年度最佳浏览器。
在11月17日,Mozilla发布了火狐浏览器的83版以及火狐企业版ESR 78.5的紧急安全更新,主要是为了解决先前版本中发现的任意代码执行和跨站脚本攻击等严重漏洞。以下是相关的漏洞信息:
漏洞详情:
1. CVE-2020-26968, CVE-2020-26969 严重程度:高
在火狐82版和火狐ESR 78.4中,存在内存安全漏洞,使得攻击者能够利用该漏洞执行任意代码。
2. CVE-2020-26951 严重程度:高
火狐的SVG代码中的解析和事件加载不匹配,可能导致加载事件被触发,甚至在清除后也会如此。具有特权的内部页面中的XSS漏洞使得攻击者能够绕过内置的安全清理程序。
3. CVE-2020-26952 严重程度:高
在JIT编译期间,内联函数的错误记账可能导致内存损坏,并在处理内存不足错误时引发崩溃。
4. CVE-2020-26956 严重程度:中
在某些情况下,清理过程中删除HTML元素可能会保留现有的SVG事件处理程序,从而引发XSS攻击(XSS攻击是指通过利用网页开发中的漏洞,注入恶意代码,使用户加载并执行攻击者的网页程序)。
5. CVE-2020-16012 严重程度:中
在未知的跨原图图像上绘制透明图像时,Skia库的dRawimage函数处理时间不稳定,具体取决于基础图像的内容。这可能导致通过定时边沿攻击暴露图像内容的跨域信息。
受影响的产品和版本:
以上漏洞影响火狐浏览器v82及更早版本,火狐ESR 78.4及更早版本。
解决方案:
Mozilla已发布安全更新,建议用户升级到火狐浏览器v83版或火狐ESR 78.5版以修复这些漏洞。
[[[IMG_1]]]
[[[IMG_2]]]
[[[IMG_3]]]
