Firefox越界写入漏洞
一、漏洞概述
漏洞名称 |
Firefox越界写入漏洞 |
||
CVE ID |
CVE-2024-29943 |
||
漏洞类型 |
越界读/写 |
||
漏洞评分 |
9.8 |
漏洞等级 |
严重 |
攻击向量 |
网络 |
所需权限 |
无 |
利用难度 |
低 |
用户交互 |
无 |
PoC/EXP |
未公开 |
在野利用 |
已发现 |
Mozilla Firefox是一个由Mozilla开发的开放源代码的网页浏览器,支持桌面版(Windows、Mac及Linux平台)、Android 版、iOS版等多种版本。
VSRC监测到Firefox中修复了一个越界写入漏洞,目前该漏洞已发现被利用。
Firefox 124.0.1之前版本中,由于基于范围的边界检查消除过程中存在问题,威胁者可通过绕过预期安全检查的方式操纵。 JavaScript 对象执行越界读取或写入,成功利用可能导致远程代码执行。
此外,Firefox 124.0.1之前版本和Firefox ESR 115.9.1之前版本(桌面版)中还修复了一个代码执行漏洞(CVE-2024-29944),威胁者可将事件处理程序注入特权对象,从而可能导致在父进程中执行任意 JavaScript。
二、影响范围
CVE-2024-29943
Firefox < 124.0.1
CVE-2024-29944
Firefox < 124.0.1
Firefox ESR < 115.9.1
注:CVE-2024-29944仅影响桌面版Firefox,不影响移动版Firefox。
三、安全措施
3.1 升级版本
目前这些漏洞已经修复,受影响用户可升级到Firefox 124.0.1、Firefox ESR 115.9.1或更高版本。Firefox用户可在Firefox浏览器中通过【打开应用程序菜单】-【帮助】-【关于Mozilla Firefox】检查版本更新,并在更新完成后重新启动。
下载链接:
https://www.firefox.com.cn/
3.2 临时措施
暂无。
3.3 建议
l 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
l 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
l 使用企业级安全产品,提升企业的网络安全性能。
l 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
l 启用强密码策略并设置为定期修改。
3.4 参考链接
https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/
https://www.bleepingcomputer.com/news/security/mozilla-fixes- two-firefox-zero-day-bugs-exploited-at-pwn2own/