火狐并不是唯一面临内存相关安全漏洞挑战的Web浏览器

社会动态2021-09-26 22:03:25
最佳答案它在几乎每个火狐版本中都很常见,其中一个安全公告被确定为修复“其他内存安全风险”。对于火狐30,只有两个内存危害CVE-2014-1533和CVE-2

它在几乎每个火狐版本中都很常见,其中一个安全公告被确定为修复“其他内存安全风险”。对于火狐30,只有两个内存危害CVE-2014-1533和CVE-2014-1534被修复。Firefox并不是唯一面临内存相关安全漏洞挑战的Web浏览器。作为6月份周二补丁更新的一部分,微软修复了54个Internet Explorer浏览器中的内存损坏漏洞。

除了各种内存安全风险之外,还有三个火狐安全公告涉及发布后使用内存的漏洞。“发布后使用”漏洞允许攻击者滥用正确分配的程序空间中的内存空间。

Mozilla基金会安全咨询(MSFA)2014-49将CVE-2014-1536、CVE-2014-1537和CVE-2014-1538确定为通过谷歌地址消毒工具发现的使用后漏洞。地址杀毒技术是一个开源工具,用于检测c和c代码中的内存错误。

Mozilla在咨询中指出:“谷歌Chrome安全团队的安全研究员Abhishek Arya(火海)利用Address洗手液工具发现了很多使用后和越界阅读的问题。”"这些问题可能被利用来允许远程代码执行."

黑莓安全团队还使用谷歌地址杀毒工具,在火狐的事件监听器管理器代码中发现“使用后不使用”的错误。知名安全研究员“Nils”也发现了使用Address洗手液发现的“先用后用”漏洞。2009年,Nils第一次臭名昭著,他在Pwn2own黑客大赛中成功使用了微软的Internet Explorer、苹果Safari和Mozilla Firefox。

在火狐30中,对于缓冲区溢出也有两个安全建议——一个影响Web音频组件,另一个影响Gamepad API。GamePad API最初是在Firefox 29中引入的,它使浏览器能够使用GamePad控制设备玩游戏。

最后,火狐30.0提供了一个修复程序来修复CVE-2014-1539的点击劫持漏洞,该漏洞只影响Mac OS X用户。火狐30.0适用于Windows、Linux和Mac OS X系统。点击劫持是一种攻击媒介,其中恶意对象隐藏在用户可能点击的合法Web按钮下。

“安全研究员尔陈迪报告说,在嵌入式Flash对象上使用该对象后,当该对象未被使用时,光标可以呈现为不可见。”Mozilla在警告中提到。“这个缺陷可以与JavaScript处理的光标图像结合使用,这会导致以后与HTML内容交互时点击劫持。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。