original="http://image.3001.net/images/20150325/1427260465587.jpg!small" />
英文原文:Mozilla Fixes Firefox Vulnerabilities Disclosed at Pwn2Own 2015
3 月 18 日,全球顶级黑客大赛 Pwn2Own2015 在加拿大温哥华拉开战幕,各路大神各显神通,Mariusz Mlynski 在极短的时间内攻破了火狐浏览器,获得 30000 美元的巨额奖金。而 Mozilla 官方在比赛结束之后立即开发补丁,于昨天发布的 Firefox 36 中修复了此次比赛中公布的 2 个高危漏洞。
漏洞一
Mozilla 定义第一个漏洞为代码执行漏洞。根据安全研究人员 ilxu1a 的报告,火狐浏览器 JavaScript just-in-time compilation (JIT)特性中存在漏洞,该漏洞可被利用于重新读写存储器上的内容,进而在本地系统上执行任意代码。
漏洞二
第二个漏洞是一高危权限提升漏洞,由 Mariusz Mlynski 发现,编号 CVE-2015-0818。
浏览器在处理 SVG 格式文件的过程中,攻击者可以利用该漏洞绕过同源策略的防护,从而在特权文本中执行任意脚本。
Mlynski 在 542 秒内成功拿下了火狐浏览器,并获得了 30000 美元的现金奖励。
影响范围
Firefox 36 之前的版本、Firefox ESR31.5.2 之前的版本、SeaMonkey 2.33.1 之前的版本
建议火狐用户尽快将浏览器更新到 Firefox 36 版本。