云安全日报201118：火狐浏览器发现任意代码执行

火狐浏览器(Mozilla Firefox)是Mozilla基金会的产品,它是一款开源Web浏览器,引擎反应快,内存占用少。Firefox从2005年开始，每年都被媒体选为年度最佳浏览器。

11月17日，Mozilla发布了Firefox 83版,Firefox ESR 78.5企业版紧急安全更新，主要修复了先前版本发现的任意代码执行和跨站脚本攻击等重要漏洞。以下是漏洞详情

漏洞详情

1.CVE-2020-26968,CVE-2020-26969 严重程度高

Firefox 82和Firefox ESR 78.4中存在内存安全漏洞，该漏洞允许攻击者利用来执行任意代码

2.CVE-2020-26951 严重程度高

Firefox的SVG代码中的解析和事件加载不匹配可能导致加载事件被触发，即使在清除之后也是如此。已经能够利用特权内部页面中的XSS漏洞的攻击者可以利用此攻击绕过内置安全清理程序。

3.CVE-2020-26952 严重程度高

在JIT编译期间内联的函数的不正确记账可能会导致内存损坏，并且在处理内存不足错误时可能导致可利用的崩溃。

4.CVE-2020-26956 严重程度中

在某些情况下，在清理过程中删除HTML元素将保留现有的SVG事件处理程序，会导致XSS跨站脚本攻击(XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序)

5.CVE-2020-16012 严重程度中

在未知的跨原图图像上绘制透明图像时，Skia库draImage函数会花费可变的时间，具体取决于基础图像的内容。这导致通过定时边沿攻击可能导致图像内容的跨域信息暴露。

受影响产品和版本

上述漏洞影响Firefox v82及更早版本,Firefox ESR 78.4及更早版本

解决方案

Mozilla已经发布了安全更新,升级Firefox v83版本,Firefox ESR 78.5版本版本可修复

查看更多漏洞信息 以及升级请访问官网

https://.mozilla./en-US/security/advisories/mfsa2020-50/