火狐并不是唯一面临内存相关安全漏洞挑战的Web浏览器

它在几乎每个火狐版本中都很常见，其中一个安全公告被确定为修复“其他内存安全风险”。对于火狐30，只有两个内存危害CVE-2014-1533和CVE-2014-1534被修复。Firefox并不是唯一面临内存相关安全漏洞挑战的Web浏览器。作为6月份周二补丁更新的一部分，微软修复了54个Internet Explorer浏览器中的内存损坏漏洞。

除了各种内存安全风险之外，还有三个火狐安全公告涉及发布后使用内存的漏洞。“发布后使用”漏洞允许攻击者滥用正确分配的程序空间中的内存空间。

Mozilla基金会安全咨询(MSFA)2014-49将CVE-2014-1536、CVE-2014-1537和CVE-2014-1538确定为通过谷歌地址消毒工具发现的使用后漏洞。地址杀毒技术是一个开源工具，用于检测c和c代码中的内存错误。

Mozilla在咨询中指出：“谷歌Chrome安全团队的安全研究员Abhishek Arya(火海)利用Address洗手液工具发现了很多使用后和越界阅读的问题。”"这些问题可能被利用来允许远程代码执行."

黑莓安全团队还使用谷歌地址杀毒工具，在火狐的事件监听器管理器代码中发现“使用后不使用”的错误。知名安全研究员“Nils”也发现了使用Address洗手液发现的“先用后用”漏洞。2009年，Nils第一次臭名昭著，他在Pwn2own黑客大赛中成功使用了微软的Internet Explorer、苹果Safari和Mozilla Firefox。

在火狐30中，对于缓冲区溢出也有两个安全建议——一个影响Web音频组件，另一个影响Gamepad API。GamePad API最初是在Firefox 29中引入的，它使浏览器能够使用GamePad控制设备玩游戏。

最后，火狐30.0提供了一个修复程序来修复CVE-2014-1539的点击劫持漏洞，该漏洞只影响Mac OS X用户。火狐30.0适用于Windows、Linux和Mac OS X系统。点击劫持是一种攻击媒介，其中恶意对象隐藏在用户可能点击的合法Web按钮下。

“安全研究员尔陈迪报告说，在嵌入式Flash对象上使用该对象后，当该对象未被使用时，光标可以呈现为不可见。”Mozilla在警告中提到。“这个缺陷可以与JavaScript处理的光标图像结合使用，这会导致以后与HTML内容交互时点击劫持。

郑重声明：本文版权归原作者所有。转载文章只是为了传播更多的信息。如果作者信息标注有误，请第一时间联系我们修改或删除。谢谢你。

标签：