Mozilla 在 22 小时内修复了 Firefox 中的一个零日漏洞

admin 2017-03-21 18:01:20 导读

导读 : 在上周的 Pwn2Own 大赛上,有白帽发现了 Firefox 浏览器里的一个零日漏洞,而 Mozilla 方面只用了 22 个小时进行修复,并且给予其 3 万美元的奖励。该漏洞由中国...

在上周的 Pwn2Own 大赛上,有白帽发现了 Firefox 浏览器里的一个零日漏洞,而 Mozilla 方面只用了 22 个小时进行修复,并且给予其 3 万美元的奖励。周五新发布的 Firefox 52.0.1 已经包含了最新的补丁,Firefox OS 部门的 Asa Dotzler 和 Mozilla 安全团队成员 Daniel Veditz 在 Twitter 上证实了这一点。

mozilla-fixes-critical-vulnerability-in-firefox-22-hours-after-discovery-514095-2.jpg

该漏洞由中国长亭安全研究实验室发现,并结合一个 Windows 内核缓冲区 bug 成功地进行了提权。Mozilla 颁发的 30000 美元奖金,也从侧面表明了该漏洞的严重性。

Mozilla 在一封安全公告中称:该公司将 createImageBitmap() 中的整数溢出漏洞标记为“严重”(Critical),不过它已经在最新版 Firefox 浏览器中被修复(通过禁用 createImageBitmap API 的实验性扩展)。

20170317 Daniel Veditz - Twitter.jpg

Mozilla 还声称,鉴于该整数型(int)函数是在内容沙盒中运行的,所以还需要另一个漏洞的配合才能对用户的计算机造成实际损害,比如长亭(Chaitin)安全研究实验室所利用的这个 Windows 内核漏洞。

在本次 Pwn2Own 大赛中,观众们对于微软(IE)和苹果(Safari)的产品攻防战也充满了期待。今年竞赛选手一共斩获了 83.3 万美元的奖金,较去年几乎翻了一番(2016 年为 46 万美金 / 2015 年为 57.7 万美金)。

Mozilla Firefox 52.0.1 下载地址:

本站所收集的资源来源于互联网公开资料,转载的目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。本站部分作品是由网友自主投稿和发布,本站仅为交流平台,不为其版权负责。

上一篇:微软再发累积更新KB4015438 修复KB4013429出现的问题
下一篇:Firefox将未加密登录页标示为不安全网页的做法遭到投诉

热门tag