查看原文
其他

Firefox,Chrome中的高危漏洞允许执行任意代码

LYA 看雪学院 2021-03-12



近日,谷歌Chrome和Firefox均迎来了新版本发布。


Chrome78 和 FireFox 70开放下载,两家浏览器在视觉面貌上都焕然一新。


提高性能的同时也进一步注重隐私。

Chrome78引入密码检查工具,FireFox 70则带有浏览器数据泄露通知。


这些举措都改善了用户的体验。

此外也修复了一些高危漏洞,这些漏洞都可能导致执行任意代码。


Chrome



本次谷歌Chrome的更新中包含了37个安全修复程序,其中CVE-2019-13699是隐藏在媒体文件中一个高危的 use-after-free漏洞。

目前尚未透露此漏洞的详细信息,但研究人员表示,成功利用此漏洞使攻击者能够在浏览器的上下文中执行任意代码,获取敏感信息,绕过安全限制并执行未经授权的操作或导致拒绝服务情况。

此更新中还修复了其他两个高危漏洞,即CVE-2019-13700和CVE-2019-13701,前者是Blink中的缓冲区溢出漏洞,后者是 navigation中的URL spoof漏洞。

此外,Google还修补了一些中低级别的bug,范围从特权升级到越界读取和缓冲区溢出。


FireFox


Firefox修复的漏洞名为CVE-2019-11764,类型是内存破坏漏洞,只要被黑客利用,则可执行任意代码。

根据MS-ISAC指出,该漏洞的影响取决于特权级别,政府机构和大中型企业面临的风险最大。

此外,Mozilla还通过该更新修补了其他许多漏洞,其中有三个严重级别被评为高,五个被评为中等。

其中高危漏洞包括expat库中的堆溢出漏洞CVE-2019-15903、缓冲区溢出漏洞CVE-2019-11758和use-after-free漏洞CVE-2019-11757。

MS-ISAC建议立即进行修补,并提醒用户不要访问不受信任的网站或链接。




* 本文由看雪编辑 LYA 编译自 Threat Post,转载请注明来源及作者。





推荐文章++++

南上加南!微信借钱语音确认仍被骗,电信诈骗又出新花招

黑客通过VPN攻击知名杀毒工具,破坏内部网络

* 加个硅胶壳就能轻松解锁!三星屏下指纹被爆漏洞

* WordPress暗藏两大恶意插件,可安装后门和挖掘加密货币

在野外发现隐匿在微软SQL Server中的首个恶意软件后门










公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com





“阅读原文”一起来充电吧!

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存