Firefox 火狐瀏覽器 83 發布，已修復任意代碼執行漏洞

　　火狐瀏覽器 (Mozilla Firefox)是 Mozilla 基金會的產品 , 它是一款開源 Web 瀏覽器 , 引擎反應快 , 內存占用少。Firefox 從 2005 年開始，每年都被媒體選為年度最佳瀏覽器。

　　11 月 17 日，Mozilla 發布了 Firefox 83 版 , Firefox ESR 78.5 企業版緊急安全更新，主要修復了先前版本發現的任意代碼執行和跨站腳本攻擊等重要漏洞。以下是漏洞詳情：

　　漏洞詳情

　　1.CVE-2020-26968,CVE-2020-26969 嚴重程度：高

　　Firefox 82 和 Firefox ESR 78.4 中存在內存安全漏洞，該漏洞允許攻擊者利用來執行任意代碼

　　2.CVE-2020-26951 嚴重程度：高

　　Firefox 的 SVG 代碼中的解析和事件加載不匹配可能導致加載事件被觸發，即使在清除之后也是如此。已經能夠利用特權內部頁面中的 XSS 漏洞的攻擊者可以利用此攻擊繞過內置安全清理程序。

　　3.CVE-2020-26952 嚴重程度：高

　　在 JIT編譯期間內聯的函數的不正確記賬可能會導致內存損壞，并且在處理內存不足錯誤時可能導致可利用的崩潰。

　　4.CVE-2020-26956 嚴重程度：中

　　在某些情況下，在清理過程中刪除 HTML 元素將保留現有的 SVG 事件處理程序，因此會導致 XSS 跨站腳本攻擊 (XSS 攻擊通常指的是通過利用網頁開發時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使用戶加載并執行攻擊者惡意制造的網頁程序)

　　5.CVE-2020-16012 嚴重程度：中

　　在未知的跨原圖圖像上繪制透明圖像時，Skia 庫 drawImage 函數會花費可變的時間，具體取決于基礎圖像的內容。這導致通過定時邊沿攻擊可能導致圖像內容的跨域信息暴露。

　　受影響產品和版本

　　上述漏洞影響 Firefox v82 及更早版本 , Firefox ESR 78.4 及更早版本

　　解決方案

　　Mozilla 已經發布了安全更新 , 升級 Firefox v83 版本 , Firefox ESR 78.5 版本版本可修復

　　查看更多漏洞信息 以及升級請訪問官網：

　　https://www.mozilla.org/en-US/security/advisories/mfsa2020-50/

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。