多款Mozilla产品权限提升漏洞

CVE编号

CVE-2020-15663

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-10-02

漏洞描述

Mozilla Firefox等都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。<br /> Firefox 80之前版本、Thunderbird 78.2之前版本、Thunderbird 68.12之前版本、Firefox ESR 68.12之前版本和Firefox ESR 78.2之前版本存在权限提升漏洞。该漏洞源于安装位置中的updater.exe文件为较早版本。攻击者可利用该漏洞提升系统权限并执行任意代码。

解决建议

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法： http://www.mozilla.org/

参考链接
https://bugzilla.mozilla.org/show_bug.cgi?id=1643199
https://www.mozilla.org/security/advisories/mfsa2020-36/
https://www.mozilla.org/security/advisories/mfsa2020-37/
https://www.mozilla.org/security/advisories/mfsa2020-38/
https://www.mozilla.org/security/advisories/mfsa2020-40/
https://www.mozilla.org/security/advisories/mfsa2020-41/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	mozilla	firefox	*		Up to (excluding) 80.0
	运行在以下环境
	应用	mozilla	firefox_esr	*	From (including) 68.0	Up to (excluding) 68.12
	运行在以下环境
	应用	mozilla	firefox_esr	*	From (including) 78.0	Up to (excluding) 78.2
	运行在以下环境
	应用	mozilla	thunderbird	*	From (including) 68.0	Up to (excluding) 68.12
	运行在以下环境
	应用	mozilla	thunderbird	*	From (including) 78.0	Up to (excluding) 78.2
	运行在以下环境
	系统	alpine_3.12	firefox	*		Up to (excluding) 78.2.0-r0
	运行在以下环境
	系统	alpine_3.12	firefox-esr	*		Up to (excluding) 78.2.0-r0
	运行在以下环境
	系统	alpine_3.13	firefox	*		Up to (excluding) 80.0-r0
	运行在以下环境
	系统	alpine_3.13	firefox-esr	*		Up to (excluding) 80.0-r0
	运行在以下环境
	系统	alpine_3.14	firefox-esr	*		Up to (excluding) 78.2.0-r0
	运行在以下环境
	系统	alpine_3.15	firefox-esr	*		Up to (excluding) 80.0-r0
	运行在以下环境
	系统	alpine_edge	firefox	*		Up to (excluding) 78.2.0-r0
	运行在以下环境
	系统	alpine_edge	firefox-esr	*		Up to (excluding) 78.2.0-r0
	运行在以下环境
	系统	opensuse_Leap_15.1	firefox	*		Up to (excluding) 68.12.0-lp151.2.50.1
	运行在以下环境
	系统	opensuse_Leap_15.1	firefox-esr	*		Up to (excluding) 68.12.0-lp151.2.50.1
	运行在以下环境
	系统	opensuse_Leap_15.2	firefox	*		Up to (excluding) 68.12.0-lp152.2.10.1
	运行在以下环境
	系统	opensuse_Leap_15.2	firefox-esr	*		Up to (excluding) 68.12.0-lp152.2.10.1
	运行在以下环境
	系统	suse_12_SP5	firefox	*		Up to (excluding) 78.2.0-112.19.2
	运行在以下环境
	系统	suse_12_SP5	firefox-esr	*		Up to (excluding) 78.2.0-112.19.2
	运行在以下环境
	系统	unionos_20	firefox-esr	*		Up to (excluding) 0

攻击路径远程
攻击复杂度复杂
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 100

CWE-ID 漏洞类型 CWE-269 特权管理不恰当

正文

多款Mozilla产品权限提升漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

IBM WebSphere Commerce 至 8.0.0.0 空指针解引用

发表评论取消回复

还没有评论，来说两句吧...

目录[+]