Mozilla Firefox 修復可能遭遠端執行任意程式碼之 0-day 漏洞

• 發布日期：109-05-22
• 發布單位：刑事警察大隊

參考網站：
TWCERT/CC Mozilla Firefox 修復可能遭遠端執行任意程式碼之 0-day 漏洞 2020-04-07發表
https://www.twcert.org.tw/tw/cp-104-3503-c4955-1.html
開放源碼瀏覽器 Mozilla Firefox，其開發維護單位 Mozilla Foundation 於日前宣布，修復兩個可能讓駭侵者得以遠端執行任意程式碼的嚴重等級 0-day 資安漏洞。
Mozilla 表示，這兩個漏洞都是屬於「use-after-free」漏洞，而且可能已經大量遭到駭侵者用以發動攻擊。
其中 CVE-2020-6819 這個漏洞和 Firefox 瀏覽器中的「nsDocShell destructor」組件相關，瀏覽器用以讀取 HTTP 檔頭資訊；這裡的程式錯誤可導致駭侵者藉以執行任意程式碼。
另一個漏洞編號為 CVE-2020-6820，問題出在 StreamsAPI 中的 ReadableStream 組件；駭侵者同樣也可利用這個錯誤來遠端執行任意程式碼。
所有受到影響的 Firefox 版本，包括 Firefox 74.0.1 先前所有版本，以及企業用戶的 Firefox Extended Support Release 68.6.1 先前所有版本，作業系統平台包括 Windows、macOS、Linux。
Mozilla 指出，由於已經傳出有駭侵者利用這兩個 0-day 漏洞發動攻擊，因此強烈建議所有 Firefox 用戶立即更新到最新版本，以修補這兩個漏洞。

•  CVE編號：CVE-2020-6819、CVE-2020-6820
•  影響版本: Firefox 74.0.1 先前所有版本、Firefox ESR 68.6.1 先前所有版本
•  解決方案：更新至最新版本