Mozilla修补了两个积极利用的Firefox零日漏洞

　　Mozilla修补了两个积极利用的Firefox零日漏洞Mozilla早些时候发布了Firefox 74.0.1和Firefox ESR 68.6.1，以解决在野外被滥用的两个​​关键漏洞，这些漏洞可能导致易受攻击的机器上远程执行代码。

　　据win10w了解今天修复的两个安全漏洞可能使攻击者可以在运行易受攻击的Firefox版本的计算机上执行任意代码或触发崩溃。

　　正如Mozilla的安全公告所指出的那样，Firefox开发人员“意识到在野蛮滥用中有针对性的攻击”这两个漏洞的严重性为“严重”。

　　今天由Mozilla固定器Firefox和Firefox ESR零日漏洞被报道弗朗西斯科阿隆索与工作哈维尔·马科斯的JMP安全。

　　第一个跟踪为CVE-2020-6819，是由于运行nsDocShell析构函数时由于争用条件而导致的“使用后释放”错误。

　　跟踪为CVE-2020-6820的第二个固定的零日也是由在处理ReadableStream时由竞争条件生成的使用后使用错误引起的。

　　远程未经身份验证的攻击者可以诱使潜在的受害者访问恶意制作的网站以触发这两个漏洞，然后在运行未修补版本的Firefox的设备上执行任意代码。

　　成功利用其中一个漏洞可能使攻击者能够破坏脆弱的系统。

　　尽管目前尚无有关如何利用这些缺陷的其他信息，但鉴于它们被评为严重缺陷并且目前已在野外被利用，所有用户都应安装修补后的Firefox 74.0.1版本。

　　美国网络安全和基础设施安全局(CISA)也发布了警报，称“攻击者可以利用此漏洞控制受影响的系统，”并鼓励用户应用此安全更新。

　　您可以通过以下方法来手动执行此操作：转到Firefox菜单->帮助->关于Firefox，然后单击更新按钮。

　　您还可以从以下链接下载适用于Windows，macOS和Linux的最新修补版本：

　　●适用于Windows 64位的Firefox 74.0.1

　　●适用于Windows 32位的Firefox 74.0.1

　　●适用于macOS的Firefox 74.0.1

　　●适用于Linux 64位的Firefox 74.0.1

　　●适用于Linux 32位的Firefox 74.0.1

　　Mozilla于1月份发布了Firefox 72.0.1，从而修补了另一个被积极利用的Firefox零日漏洞，该漏洞也用于有针对性的攻击。在2019年6月，Mozilla修补了两个主动利用的零日漏洞，用于针对Coinbase等加密货币公司的针对性攻击。

　　早在2016年，Mozilla便通过Firefox 50.0.2发行版对零日漏洞进行了广泛的修补，而Tor Project发行了Tor Browser 6.0.7来修复同一问题。