DDos
VIP Members
-
22/10/2013
-
524
-
2.189 bài viết
Cập nhật ngay phiên bản Firefox mới nhất để vá lỗ hổng 0-day đang bị khai thác trên thực tế
Mozilla vừa phát hành bản cập nhật phần mềm nghiêm trọng mới cho trình duyệt web Firefox trên desktop.
Phiên bản Firefox 74.0.1, Firefox ESR 68.6.1 mới nhất bao gồm các bản vá an ninh cho hai lỗ hổng mới, tất cả đều được đánh giá ở mức nghiêm trọng 'CAO'. Cả hai lỗ hổng này (CVE-2020-6819 ,CVE-2020-6820) đã bị khai thác trên thực tế.
Cả hai lỗ hổng này thuộc loại lỗ hổng "user-after-free" (một loại lỗ hổng liên quan đến bộ nhớ), nó cho phép tin tặc đưa mã vào bộ nhớ của Firefox và thực thi mã trong ngữ cảnh của trình duyệt.
Nhà nghiên cứu bảo mật Francisco Alonso đã phát hiện ra hai lỗ hổng này nhưng không báo cáo chi tiết hơn về cách thức khai thác lỗ hổng. Nhà nghiên cứu cũng nói rằng hai lỗ hổng này đã bị khai thác trong thế giới thực và các trình duyệt khác có thể bị ảnh hưởng tương tự.
Mozilla khuyên tất cả người dùng Firefox cập nhật và sửa chữa càng sớm càng tốt. Đây là lần thứ hai Mozilla thực hiện sửa lỗi 0-day trong Firefox trong năm nay. Vào tháng 1, với việc phát hành Firefox v72.0.1, Mozilla đã sửa một lỗi khác mà hacker sử dụng các lỗ hổng này để tấn công người dùng ở Trung Quốc và Nhật Bản.
Phiên bản Firefox 74.0.1, Firefox ESR 68.6.1 mới nhất bao gồm các bản vá an ninh cho hai lỗ hổng mới, tất cả đều được đánh giá ở mức nghiêm trọng 'CAO'. Cả hai lỗ hổng này (CVE-2020-6819 ,CVE-2020-6820) đã bị khai thác trên thực tế.
Cả hai lỗ hổng này thuộc loại lỗ hổng "user-after-free" (một loại lỗ hổng liên quan đến bộ nhớ), nó cho phép tin tặc đưa mã vào bộ nhớ của Firefox và thực thi mã trong ngữ cảnh của trình duyệt.
Nhà nghiên cứu bảo mật Francisco Alonso đã phát hiện ra hai lỗ hổng này nhưng không báo cáo chi tiết hơn về cách thức khai thác lỗ hổng. Nhà nghiên cứu cũng nói rằng hai lỗ hổng này đã bị khai thác trong thế giới thực và các trình duyệt khác có thể bị ảnh hưởng tương tự.
Mozilla khuyên tất cả người dùng Firefox cập nhật và sửa chữa càng sớm càng tốt. Đây là lần thứ hai Mozilla thực hiện sửa lỗi 0-day trong Firefox trong năm nay. Vào tháng 1, với việc phát hành Firefox v72.0.1, Mozilla đã sửa một lỗi khác mà hacker sử dụng các lỗ hổng này để tấn công người dùng ở Trung Quốc và Nhật Bản.
Theo: meterpreter.org