Center for Modern Educational Technology
一、 基本情况
Mozilla Firefox是一个由Mozilla开发的开放源代码的网页浏览器,支持桌面版(Windows、Mac及Linux平台)、Android 版、iOS版等多种版本。
二、 漏洞描述
Firefox中修复了一个越界写入漏洞(CVE-2024-29943),目前该漏洞已发现被利用。
Firefox 124.0.1之前版本中,由于基于范围的边界检查消除过程中存在问题,威胁者可通过绕过预期安全检查的方式操纵 JavaScript 对象执行越界读取或写入,成功利用可能导致远程代码执行。
此外,Firefox 124.0.1之前版本和Firefox ESR 115.9.1之前版本(桌面版)中还修复了一个代码执行漏洞(CVE-2024-29944),威胁者可将事件处理程序注入特权对象,从而可能导致在父进程中执行任意 JavaScript。
三、 影响范围
Firefox中修复了一个越界写入漏洞(CVE-2024-29943),目前该漏洞已发现被利用。
Firefox 124.0.1之前版本中,由于基于范围的边界检查消除过程中存在问题,威胁者可通过绕过预期安全检查的方式操纵 JavaScript 对象执行越界读取或写入,成功利用可能导致远程代码执行。
此外,Firefox 124.0.1之前版本和Firefox ESR 115.9.1之前版本(桌面版)中还修复了一个代码执行漏洞(CVE-2024-29944),威胁者可将事件处理程序注入特权对象,从而可能导致在父进程中执行任意 JavaScript。
四、 修复建议
目前这些漏洞已经修复,受影响用户可升级到Firefox 124.0.1、Firefox ESR 115.9.1或更高版本。Firefox用户可在Firefox浏览器中通过【打开应用程序菜单】-【帮助】-【关于Mozilla Firefox】检查版本更新,并在更新完成后重新启动。
下载链接:
https://www.firefox.com.cn/
五、 参考链接
https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/
https://www.bleepingcomputer.com/news/security/mozilla-fixes-two-firefox-zero-day-bugs-exploited-at-pwn2own/