新しい情報開示の脆弱性, CVE-2020-12418, MozillaFirefoxで発見されたばかりです. CiscoTalosによって発見されました, この脆弱性は、ユーザーをだましてブラウザを介して特別に細工されたWebページにアクセスさせることで悪用される可能性があります。.
エクスプロイトが成功した場合, 攻撃者はリークされたメモリを使用してASLRをバイパスする可能性があります (アドレス空間配置のランダム化). 欠陥が他のバグと組み合わされている場合, 攻撃者は任意のコードを実行する能力を獲得する可能性があります, 研究者は警告します.
「「調整された開示ポリシーに従って, Cisco TalosはMozillaと協力して、これらの問題が解決され、影響を受けるお客様がアップデートを利用できるようにしました。,」ブログの投稿には.
MozillaFirefox情報開示の脆弱性: CVE-2020-12418
この脆弱性の正式な定義は、「Mozilla FirefoxURLmPath情報開示の脆弱性」です。 (TALOS-2020-1088 / CVE-2020-12418)」.
CiscoTalosによると:
情報開示の脆弱性は、Mozilla FirefoxFirefoxNightlyバージョン78.0a1x64およびFirefoxリリースバージョンのURLmPath機能に存在します。 76.0.2 x64. 特別に細工されたURLオブジェクトは、範囲外の読み取りを引き起こす可能性があります. 攻撃者はWebページにアクセスして、この脆弱性を引き起こす可能性があります.
この問題は、Mozilla FirefoxFirefoxNightlyバージョン78.0a1x64およびMozillaFirefoxFirefoxリリースバージョンでテストされています。 76.0.2 x64. ブラウザの両方のバージョンが影響を受けます.
より専門的な用語で, 脆弱性はURLオブジェクトに関連しています. 「「適切なURLオブジェクトの状態を使用する悪意のあるWebページは、ブラウザのメモリをリークする可能性があり、その結果、攻撃者がASLRをバイパスして任意のコードを実行するのに役立つ可能性があります,」研究者は説明します.
詳細は 利用可能.
先月, Mozillaがリリースされました 8つの脆弱性に対処するセキュリティアップデート, そのうち5つは高リスクと評価されました. 5つのリスクの高い欠陥のうち3つにより、任意のコードが実行される可能性があります. Webブラウザーのコンテキストでは、これは、悪意のあるページをロードすると、システムにマルウェア感染が発生する可能性があることを意味します。. 幸運, これらのバグはMozilla自身の開発者によって発見されました.