Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mozilla cảnh báo 2 lỗ hổng thực thi mã tùy ý trên Firefox
Mozilla mới đây thông báo về bản cập nhật Firefox 104 và ESR 102.2 và 91.13 khắc phục 6 lỗ hổng, trong đó 2 lỗi nghiêm trọng liên quan bộ nhớ cho phép thực thi mã tùy ý.
Trong cảnh báo của hãng, lỗ hổng CVE-2022-38477 và CVE-2022-38478 là lỗi an toàn bộ nhớ mức độ nghiêm trọng cao trong công cụ trình duyệt, có thể bị khai thác để chạy mã tùy ý. Bằng cách lừa nạn nhân truy cập một trang Web được thiết kế đặc biệt, kẻ tấn công từ xa có thể khai thác lỗ hổng này bằng cách sử dụng các vectơ tấn công không xác định để thực thi mã tùy ý trên hệ thống ảnh hưởng hoặc tấn công từ chối dịch vụ.
Các lỗ hổng CVE-2022-38477 và CVE-2022-38478 đã được báo cáo bởi nhà phát triển Mozilla Nika Layzell và Nhóm Mozilla Fuzzing.
CVE-2022-38472 và CVE-2022-38473 là hai lỗi có mức độ nghiêm trọng cao được vá trong Firefox 104, có thể “lừa người dùng gửi dữ liệu đến nguồn giả mạo” và “kế thừa các quyền của miền mẹ (chẳng hạn như quyền truy cập vào micro hoặc máy ảnh)”.
Bản phát hành Firefox mới cũng vá lỗi CVE-2022-38474 và CVE-2022-38475. Các lỗi này cho phép “ghi âm thanh mà không hiển thị thông báo âm thanh” và “ghi giá trị vào mảng có độ dài bằng không”.
Các nhà nghiên cứu Christian Holler, Agi Sferro và Armin Ebert là những người đã phát hiện và báo cáo các vấn đề trên.
Mozilla chưa ghi nhận bất kỳ cuộc tấn công nào khai thác lỗ hổng.
Người dùng và quản trị viên được khuyến cáo nên xem xét cảnh báo của Mozilla và cập nhật bản vá.
Trong cảnh báo của hãng, lỗ hổng CVE-2022-38477 và CVE-2022-38478 là lỗi an toàn bộ nhớ mức độ nghiêm trọng cao trong công cụ trình duyệt, có thể bị khai thác để chạy mã tùy ý. Bằng cách lừa nạn nhân truy cập một trang Web được thiết kế đặc biệt, kẻ tấn công từ xa có thể khai thác lỗ hổng này bằng cách sử dụng các vectơ tấn công không xác định để thực thi mã tùy ý trên hệ thống ảnh hưởng hoặc tấn công từ chối dịch vụ.
Các lỗ hổng CVE-2022-38477 và CVE-2022-38478 đã được báo cáo bởi nhà phát triển Mozilla Nika Layzell và Nhóm Mozilla Fuzzing.
CVE-2022-38472 và CVE-2022-38473 là hai lỗi có mức độ nghiêm trọng cao được vá trong Firefox 104, có thể “lừa người dùng gửi dữ liệu đến nguồn giả mạo” và “kế thừa các quyền của miền mẹ (chẳng hạn như quyền truy cập vào micro hoặc máy ảnh)”.
Bản phát hành Firefox mới cũng vá lỗi CVE-2022-38474 và CVE-2022-38475. Các lỗi này cho phép “ghi âm thanh mà không hiển thị thông báo âm thanh” và “ghi giá trị vào mảng có độ dài bằng không”.
Các nhà nghiên cứu Christian Holler, Agi Sferro và Armin Ebert là những người đã phát hiện và báo cáo các vấn đề trên.
Mozilla chưa ghi nhận bất kỳ cuộc tấn công nào khai thác lỗ hổng.
Người dùng và quản trị viên được khuyến cáo nên xem xét cảnh báo của Mozilla và cập nhật bản vá.
Nguồn: SecurityOnline