DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Mozilla phát hành Firefox 100.0.2 vá hai lỗ hổng nghiêm trọng
Mozilla vừa phát hành Firefox phiên bản 100.0.2 để vá một số lỗ hổng nghiêm trọng, đồng thời khuyến nghị người dùng cập nhật sớm nhất có thể.
Trong bản tin an ninh, Mozilla đánh giá hai lỗ hổng với mức độ nghiêm trọng cao nhất, chúng được báo cáo bởi nhà nghiên cứu Manfred Paul của Trend Micro’s Zero Day.
Lỗ hổng đầu tiên được Mozilla đề cập có mã định danh CVE-2022-1802, tồn tại trong Top-Level Await.
Mozilla cho biết: "Nếu hacker gây lỗi các phương thức của đối tượng Array trong JavaScript thông qua tấn công prototype pollution thì sẽ có thể thực thi mã JavaScript với đặc quyền cao".
Lỗ hổng thứ hai có mã định danh CVE-2022-1529, bắt nguồn do đầu vào không đáng tin cậy sử dụng trong lập chỉ mục đối tượng Javascript. Mozilla cho biết lỗi cũng có thể bị khai thác thông qua tấn công prototype pollution.
Hãng cho biết: “Hacker có thể đã gửi một thông báo đến tiến trình cha (parent process), nơi nội dung được sử dụng để lập chỉ mục kép thành một đối tượng JavaScript, dẫn đến tấn công prototype pollution. Điều này cho phép kẻ tấn công thực thi JavaScript với đặc quyền của tiến trình cha”.
Nếu bạn đang sử dụng trình duyệt Firefox, hãy chắc chắn đó là phiên bản mới nhất tương ứng với nền tảng của mình.
Trong bản tin an ninh, Mozilla đánh giá hai lỗ hổng với mức độ nghiêm trọng cao nhất, chúng được báo cáo bởi nhà nghiên cứu Manfred Paul của Trend Micro’s Zero Day.
Lỗ hổng đầu tiên được Mozilla đề cập có mã định danh CVE-2022-1802, tồn tại trong Top-Level Await.
Mozilla cho biết: "Nếu hacker gây lỗi các phương thức của đối tượng Array trong JavaScript thông qua tấn công prototype pollution thì sẽ có thể thực thi mã JavaScript với đặc quyền cao".
Lỗ hổng thứ hai có mã định danh CVE-2022-1529, bắt nguồn do đầu vào không đáng tin cậy sử dụng trong lập chỉ mục đối tượng Javascript. Mozilla cho biết lỗi cũng có thể bị khai thác thông qua tấn công prototype pollution.
Hãng cho biết: “Hacker có thể đã gửi một thông báo đến tiến trình cha (parent process), nơi nội dung được sử dụng để lập chỉ mục kép thành một đối tượng JavaScript, dẫn đến tấn công prototype pollution. Điều này cho phép kẻ tấn công thực thi JavaScript với đặc quyền của tiến trình cha”.
Nếu bạn đang sử dụng trình duyệt Firefox, hãy chắc chắn đó là phiên bản mới nhất tương ứng với nền tảng của mình.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: