mozilla 紧急发布了 firefox 74.0.1 和 firefox esr 68.6.1 版本,针对其内存空间管理方式中存在的两个错误进行了修复。两项漏洞分别为 cve-2020-6819 和 cve-2020-6820,均被评级为”严重“。这类 ”user-after-free“ 漏洞使黑客可以将代码放入 firefox 的内存中,并在浏览器的上下文中执行代码。
安全研究员 francisco alonso 发现了这两项漏洞,但并未报告更多详细信息。alonso 表示尚不清楚漏洞是否已经被利用,且其他浏览器也有可能受到类似影响,后续将会有更多相关消息发布。
显然目前官方优先专注于发布补丁,之后才会进一步展开调查。建议所有 firefox 用户尽快更新修复。
这已经是 mozilla 今年第二次在 firefox 中进行 0day 漏洞修复。一月份,随着 firefox v72.0.1 的发布,它修复过另一个错误,该漏洞曾使中国和日本的用户受到攻击。
试用申请