Mozilla 近日對旗下多種軟體產品推出資安更新,主要修復兩個存於 Firefox、Thunderbird 中,在今(2022)年於加拿大溫哥華舉辦的 Pwn2Own 資安大賽上被發現的 0-day 漏洞;用戶應立即更新至最新版本。
據報導指出,這兩個漏洞若遭到駭侵者用於攻擊,將可能導致駭侵者獲得在桌面或行動裝制上執行任意 JavaScript 的權限;受此漏洞影響的 Mozilla 旗下產品,包括 Firefox、Firefox ESR、Firefox for Android、Thunderbird 等。
第一個在 Pwn2Own 大會上發現的 0-day 漏洞 CVE-2022-1802,是一個在頂級等待實作上的原型污染漏洞(prototype pollution in Top-Level Await implementation),駭侵者可藉以在有此漏洞的平台上執行任意 JavaScript 程式碼。
另一個 0-day 漏洞則是藉用濫用 Java 物件索引,給予特定的不正確輸入驗證,同樣可透過原型污染注入攻擊手法,來控制 JavaScript 的執行緒。
Mozilla 在獲悉這兩個漏洞後,很快就在兩天後推出了更新版本;美國資安主管機關網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)也在近日呼籲相關用戶更新此漏洞。
建議所有 Mozilla Firefox 與 Thunderbird 各版本用戶,應立即更新至最新版本,以避免駭侵者利用這兩個 0-day 漏洞發動攻擊。
- CVE編號:CVE-2022-1802、CVE-2022-1529
- 影響產品(版本):Mozilla Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3、Thunderbird 91.9.1 之前版本。
- 解決方案:更新至 Mozilla Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3、Thunderbird 91.9.1 與後續版本。
本文轉載自TWCERT/CC。