firefox兩個“記憶體安全漏洞”已修複cve-2016-5256和cve-2016-5257,mozilla在firefox 49和firefox esr 45.4上打了更新檔。這2個漏洞是由mozilla開發人員發現可允許攻擊者在目标機器上執行任意代碼。mozilla公司将證書鎖定漏洞評級為高風險漏洞,并于昨天修複了火狐49中的4個嚴重漏洞。
完整的安全公告,請點選如下圖檔進入mozilla的官方網站
如大家預期的那樣,mozilla在firefox插件自動更新過程中修複了一個廣受關注的漏洞。具體說來,這個漏洞與證書鎖定過期有關。攻擊者可利用這個漏洞攔截加密的浏覽器流量,注入惡意的noscript擴充工具更新包,并遠端執行代碼。在基于firefox代碼開發的tor浏覽器上,這個漏洞也存在。上周五,在被稱為movrck的研究員公布這個漏洞之後,tor很快就打上了更新檔。
漏洞利用
除了movrck之外,前美國網絡司令部(u.s. cyber command)成員ryan duff也對該漏洞進行了研究。兩人都說,考慮到必須具備的條件,對這個漏洞的利用很具有挑戰性。攻擊者必須竊取或僞造一個tls證書,然後潛入到流量中(通過運作惡意tor退出節點或者執行中間人攻擊)。
然後,攻擊者還必須為noscript找到一個插件更新包,注入他們自己的更新包,并獲得受害機器的遠端控制權限。與針對大規模firefox或tor使用者的攻擊相比,針對個人的攻擊會更難。受政府資助的攻擊者或者擁有豐富資源的幫派也許能成功利用這個漏洞。movrck說,發起一次攻擊可能要花費10萬美元。
mozilla公司在新聞釋出中稱,在更新預加載的公鑰固定時會觸發cve-2016-5284漏洞。mozilla公司使用自己的定期更新的靜态密碼,而不使用http公鑰固定(hpkp)。是以,當靜态密碼在9月3日過期時,使用者則會在17天内均面臨攻擊。
movrck也是在研究過程中偶然發現這一情況的。duff指出,他在這17天以外的任意時間發起攻擊都會失敗。周五,mozilla公司承認了更新過程中存在漏洞和過期的密碼。mozilla公司安全工程進階經理selena deckelmann說,盡管公司發出了警告(鑒于tor浏覽器預載了某些隐私插件,tor使用者将面臨風險),但并沒有意識到惡意證書的存在。
duff說,今年年底前還将發生兩次密碼過期情況,最嚴重的一次是,50個火狐密碼将于12月17日過期,直至2017年1月24日才更新。今天更新後mozilla公司在11月結束前都處于安全期。安全期過後,mozilla公司将不得不解決這個問題。
mozilla::gfx::filtersupport::computesourceneededregions中的全局緩沖區溢出漏洞也已修複。mozilla公司稱,在空過濾器上進行canvas渲染時會觸發該漏洞。
nsbmpencoder::addimageframe中的堆緩沖區溢出漏洞也是一個重大安全缺陷,會在編譯圖形幀時觸發,導緻導緻伺服器崩潰。此漏洞和cve-2016-5257漏洞均被評級為緊急,并在firefox esr 45.4中進行了修複。
近期相關的文章
<a href="http://toutiao.secjia.com/harvard-students-show-darkweb-merchant-physical-map">哈佛大學生爬取83個暗網市場的商品圖檔 分析後得到全球部分暗網商家實體分布圖</a>
原文釋出時間:2017年3月24日
本文由:threatpost 釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/firefox-high-risk-memory-leaks-vulnerability-fixed
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站