女黑客发现Firefox高危漏洞获奖4000美元-阿里云开发者社区

开发者社区> 开发与运维> 正文
登录阅读全文

女黑客发现Firefox高危漏洞获奖4000美元

简介:

近日,Mozilla发布了Firefox49.0版本,共修复了18个安全漏洞,其中包括一个来自360信息安全部Gear Team的女安全研究员“王大状”,漏洞编号CVE-2016-5280,为此Mozilla基金会根据自身漏洞奖励给予该名女黑客4000美元的奖励。

女黑客发现Firefox高危漏洞获奖4000美元

 

女黑客发现Firefox高危漏洞

其CVE-2016-5280是一个UAF(Use-After-Free)漏洞,存在于dom/base/DirectionalityUtils.cpp中。当DOM节点的属性“dir”发生改变时,会导致释放重用,并导致远程代码执行或远程拒绝服务,Firefox47、48版本均会受到影响。

除此之外,Firefox49.0还修复了一个可造成中间人攻击和远程代码执行的漏洞。该漏洞允许攻击者使用浏览器信任的CA机构签发伪造的addons.mozilla.org服务器证书,中间人攻击者通过拦截升级请求,返回伪造的恶意升级元数据文件,下载恶意扩展载体,并进行静默安装,获取代码执行权限。

建议Firefox浏览器用户尽快升级到最新版本。


本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享: