Firefoxの新しい重大なバグ, ChromeとEdge (CVE-2020-16044)

ユーザーは、Chromeに影響を与えるいくつかの新しいブラウザの脆弱性にパッチを適用する必要があります, Firefox, とエッジ.

脆弱性は重大と評価されており、攻撃者が影響を受けやすいシステムを乗っ取る可能性があります.
CVE-2020-16044として識別されたFirefoxの欠陥は、Chromiumで発見された脆弱性とは別のものであることに注意してください。. Chromiumは、GoogleChromeとMicrosoftEdgeの両方のブラウザエンジンです。.

Firefoxの脆弱性CVE-2020-16044

によると Mozillaのアドバイザリ, 「悪意のあるピアが、SCTPパケットのCOOKIE-ECHOチャンクを、解放後の使用につながる可能性のある方法で変更した可能性があります。. 十分な努力があれば、任意のコードを実行するために悪用された可能性があると推測されます。」

言い換えると, 脆弱性は解放後使用の問題です, FirefoxブラウザがブラウザのCookieを処理する方法に起因します. 搾取時に, このバグにより、攻撃者がユーザーのデバイスにアクセスできる可能性があります (コンピューター, タブレット, または電話). この脆弱性はデスクトップFirefoxバージョンで修正されました 84.0.2, Firefox Android 84.1.3, および企業のESR 78.6.1 バージョン.

同社は、誰がこの脆弱性を発見したのか、またそれが実際に悪用されているのかどうかを特定していません。. それにもかかわらず, ユーザーは、問題を回避するために、ブラウザがパッチを適用したバージョンを実行していることを確認する必要があります.

ChromeおよびEdgeの脆弱性CVE-2020-15995

このChromiumのバグは、「86.0.4240.99より前のGoogleChromeのV8での範囲外の書き込み」として説明されています。. このバグにより、リモートの攻撃者が細工されたHTMLページを介してヒープの破損を悪用する可能性があります。.

ウィンドウズ, マックOS, ChromeのLinuxユーザーは、 87.0.4280.141 ブラウザのバージョン. Tenableの研究者は、この欠陥を重大と評価しました. でも, グーグルとマイクロソフトは、バグは非常に深刻であると述べた.

CVE-2020-15995は、Tencent Security XuanwuLabの研究者であるBohanLiuによって発見され、報告されました。.
CVE-2020-15995は、重大度の高い問題と評価された昨年10月にGoogleが公開したChromeforAndroidアップデートのセキュリティ情報に関連付けられていることは注目に値します。.

最初は, 脆弱性は9月に開示されました 2020 同じTencentの研究者による.
ChromeとEdgeのChromiumエンジンを危険にさらす脆弱性はこれだけではありません. グーグルが開示 12 より多くの欠陥, マイクロソフトはまた、セキュリティ速報でそれらを取り上げました. これは脆弱性のリストです:

CVE-2021-21106, CVE-2021-21107, CVE-2021-21108, CVE-2021-21109, CVE-2021-21110, CVE-2021-21111, CVE-2021-21112, CVE-2021-21113, CVE-2021-21114, CVE-2021-21115, CVE-2021-21116, CVE-2020-16043.

---

12月中 2020, MozillaとGoogleは別の重大な脆弱性に対処しました 彼らのブラウザに潜んでいる.

Mozillaのセキュリティアドバイザリによると, CVE-2020-16042はBigIntの問題です, 初期化されていないメモリが公開される原因となった可能性のあるJavaScriptコンポーネント. Googleの説明は異なります, バグはChromeのV8JavaScriptエンジンに影響を与える「初期化されていない使用」として説明されているため. これらのタイプのバグはほとんど無視され、「重要でないメモリエラー」と見なされます。