【 資安警訊 】- Mozilla 修復了 Pwn2Own 中被利用的兩個 Firefox 零日漏洞
發佈編號 :HC-CTI-2024-03-004
情資來源 :BLEEPINGCOMPUTER
事件類型 :攻擊、漏洞警訊公告
內容說明 :
Mozilla 已經發布了安全更新,修復了 Firefox 瀏覽器中在 Pwn2Own Vancouver 2024 駭客競賽期間被利用的兩個零日漏洞。
Manfred Paul (@_manfp) 利用越界 (OOB) 寫入漏洞 (CVE-2024-29943) 獲得遠程代碼執行,並利用暴露的危險弱點功能 (CVE-2024-29944) 逃出 Mozilla Firefox 沙盒,贏得了 100,000 美元獎金和 10 點 Pwn 大師積分。
Mozilla 表示,第一個漏洞可以讓攻擊者透過利用易受攻擊的系統上基於範圍的邊界檢查消除來越界讀取 JavaScript 內容。
Mozilla 解釋說:“攻擊者可以通過欺騙基於範圍的邊界檢查消除,對 JavaScript 對象執行越界讀取或寫入操作。”
第二個漏洞被描述為通過事件處理程序執行特權 JavaScript 代碼,這可能使攻擊者能夠在 Firefox 桌面網頁瀏覽器的父行程中執行任意代碼。
Mozilla 在 Firefox 124.0.1 和 Firefox ESR 115.9.1 中修復了這些安全漏洞,以阻止針對未安裝更新檔的網頁瀏覽器的潛在遠程代碼執行攻擊。
曼弗雷德-保羅(Manfred Paul)在 Pwn2Own 駭客競賽上利用並報告了這兩個安全漏洞,僅一天後,這兩個漏洞就得到了修補。
不過,在 Pwn2Own 競賽結束後,廠商通常會慢慢發布更新檔,因為他們有 90 天的時間來推送修復程序直到趨勢科技的零日計畫公開發布更新檔之前。
影響平台 :
受影響平台為以下版本之前的版本:
Firefox 124.0.1
Firefox ESR 115.9.1
建議措施 :
請將受影響平台更新至以下版本:
Firefox 124.0.1
Firefox ESR 115.9.1
參考連結 :
https://www.hkcert.org/tc/security-bulletin/mozilla-firefox-multiple-vulnerabilities_20240325
https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-16/