パスワードを忘れた? アカウント作成
14153437 story
Firefox

Mozilla、2件のゼロデイ脆弱性を修正したFirefox 74.0.1/ESR 68.6.1をリリース 4

ストーリー by headless
修正 部門より
Mozillaは3日、2件のゼロデイ脆弱性を修正したFirefox 74.0.1およびFirefox ESR 68.6.1をリリースした(MozillaのセキュリティアドバイザリNeowinの記事Ghacksの記事)。

修正された2件の脆弱性はいずれも解放後メモリー使用の脆弱性で、CVE-2020-6819はnsDocShellデストラクター実行時に、CVE-2020-6820はReadableStreamを扱う際に、それぞれ特定の条件下で競合が発生することで引き起こされる。いずれも脆弱性を狙った攻撃が確認されているとのこと。報告者はFirefox以外のブラウザーが影響を受けることも示唆しているが、影響を受けるのがFirefoxベースのブラウザーなのか、Firefoxとは無関係のブラウザーなのかについては言及していない。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年04月05日 14時12分 (#3791752)

    嬉しいゾ

  • by Anonymous Coward on 2020年04月05日 14時12分 (#3791753)

    問題のあった箇所からして他に影響を受けるとしたらGeckoベースのブラウザーしかありえない

    • by Anonymous Coward

      nsDocShellはXPCOM関連だからGeckoだけであってると思う。
      でもReadableStreamはJavaScriptの標準APIで旧IE以外ほぼ全部のブラウザが実装してるから、他のエンジンがFirefoxのロジックを参考にしてたら(それかFirefoxが他のエンジンを参考にしてたら)Gecho以外も影響受ける可能性はあると思うけど。

      • by Anonymous Coward

        「ロジックを参考にする」というレベルでuse-after-freeバグを「参考にした」コードのせいにするのは言いがかりレベルだと思う

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...