firefox两个“内存安全漏洞”已修复CVE-2016-5256和CVE-2016-5257，Mozilla在Firefox 49和Firefox ESR 45.4上打了补丁。这2个漏洞是由Mozilla开发人员发现可允许攻击者在目标机器上执行任意代码。Mozilla公司将证书锁定漏洞评级为高风险漏洞，并于昨天修复了火狐49中的4个严重漏洞。

完整的安全公告，请点击如下图片进入Mozilla的官方网站

Mozilla修复Firefox中的证书锁定漏洞

如大家预期的那样，Mozilla在Firefox插件自动更新过程中修复了一个广受关注的漏洞。具体说来，这个漏洞与证书锁定过期有关。攻击者可利用这个漏洞拦截加密的浏览器流量，注入恶意的NoScript扩展工具更新包，并远程执行代码。在基于Firefox代码开发的Tor浏览器上，这个漏洞也存在。上周五，在被称为movrck的研究员公布这个漏洞之后，Tor很快就打上了补丁。

漏洞利用

除了movrck之外，前美国网络司令部（U.S. Cyber Command）成员Ryan Duff也对该漏洞进行了研究。两人都说，考虑到必须具备的条件，对这个漏洞的利用很具有挑战性。攻击者必须窃取或伪造一个TLS证书，然后潜入到流量中（通过运行恶意Tor退出节点或者执行中间人攻击）。

然后，攻击者还必须为NoScript找到一个插件更新包，注入他们自己的更新包，并获得受害机器的远程控制权限。与针对大规模Firefox或Tor用户的攻击相比，针对个人的攻击会更难。受*资助的攻击者或者拥有丰富资源的犯罪团伙也许能成功利用这个漏洞。movrck说，发起一次攻击可能要花费10万美元。

Mozilla公司在新闻发布中称，在更新预加载的公钥固定时会触发CVE-2016-5284漏洞。Mozilla公司使用自己的定期更新的静态密码，而不使用HTTP公钥固定（HPKP）。因此，当静态密码在9月3日过期时，用户则会在17天内均面临攻击。

movrck也是在研究过程中偶然发现这一情况的。Duff指出，他在这17天以外的任意时间发起攻击都会失败。周五，Mozilla公司承认了更新过程中存在漏洞和过期的密码。Mozilla公司安全工程高级经理Selena Deckelmann说，尽管公司发出了警告（鉴于Tor浏览器预载了某些隐私插件，Tor用户将面临风险），但并没有意识到恶意证书的存在。

还有两次密码过期的漏洞

Duff说，今年年底前还将发生两次密码过期情况，最严重的一次是，50个火狐密码将于12月17日过期，直至2017年1月24日才更新。今天更新后Mozilla公司在11月结束前都处于安全期。安全期过后，Mozilla公司将不得不解决这个问题。

mozilla::gfx::FilterSupport::ComputeSourceNeededRegions中的全局缓冲区溢出漏洞也已修复。Mozilla公司称，在空过滤器上进行canvas渲染时会触发该漏洞。

nsBMPEncoder::AddImageFrame中的堆缓冲区溢出漏洞也是一个重大安全缺陷，会在编译图形帧时触发，导致导致服务器崩溃。此漏洞和CVE-2016-5257漏洞均被评级为紧急，并在Firefox ESR 45.4中进行了修复。

近期相关的文章

哈佛大学生爬取83个暗网市场的商品图片 分析后得到全球部分暗网商家物理分布图

原文发布时间：2017年3月24日

本文由：threatpost  发布，版权归属于原作者

原文链接：http://toutiao.secjia.com/firefox-high-risk-memory-leaks-vulnerability-fixed

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站