女黑客发现Firefox高危漏洞获奖4000美元

近日,Mozilla发布了Firefox49.0版本,共修复了18个安全漏洞,其中包括一个来自360信息安全部Gear Team的女安全研究员“王大状”,漏洞编号CVE-2016-5280,为此Mozilla基金会根据自身漏洞奖励给予该名女黑客4000美元的奖励。


 

女黑客发现Firefox高危漏洞

其CVE-2016-5280是一个UAF(Use-After-Free)漏洞,存在于dom/base/DirectionalityUtils.cpp中。当DOM节点的属性“dir”发生改变时,会导致释放重用,并导致远程代码执行或远程拒绝服务,Firefox47、48版本均会受到影响。

除此之外,Firefox49.0还修复了一个可造成中间人攻击和远程代码执行的漏洞。该漏洞允许攻击者使用浏览器信任的CA机构签发伪造的addons.mozilla.org服务器证书,中间人攻击者通过拦截升级请求,返回伪造的恶意升级元数据文件,下载恶意扩展载体,并进行静默安装,获取代码执行权限。

建议Firefox浏览器用户尽快升级到最新版本。

本文转自d1net(转载)

时间: 2024-10-21 22:35:49

女黑客发现Firefox高危漏洞获奖4000美元的相关文章

12岁男孩发现Firefox严重安全漏洞获奖3000美元

美国加州圣何塞小城市Willow Glen的Alex Miller还只是个12岁的小男孩,就读于多伦多大学预备学院七年级,不过他最近做了一件让同龄人羡慕不已的事情:凭借发现Firefox浏览器内的一个严重安全漏洞,从Mozilla那里领取了一张3000美元的支票. 很多软件公司都有悬赏自家产品bug的项目,Mozilla也不例外.将近最初是500美元,但随着经济形势的好转,几个月前一路飙升到3000美元. Alex Miller于是就开始了他的赚外快之旅,一番研究之后很快就提交了一份bug报告,

iOS 4.3.1即将发布 将修补查理米勒发现的Safari漏洞

苹果不久前公布了iOS 4.3,但是由于著名黑客Charlie Miller在Pwn2Own上的上佳表现,给iOS的http://www.aliyun.com/zixun/aggregation/11218.html">Safari揭开了伤疤,因此苹果不得不将修补这个由著名黑客发现的著名漏洞的事务列入工作日程,虽然iOS 4.3有ASLR技术的加持而没有被洞穿,但Safari的漏洞依旧存在,不补总不能令苹果放心,因此不久后我们将看到4.3.1版本的出现.另一方面,从事越狱工作的黑客团队透露

区块链安全问题 25款区块链开源软件 700+高危漏洞 3500+中危漏洞

5月27日,2017全球区块链技术发展论坛在贵阳举办.国家互联网应急中心互联网金融监管技术支撑专项组组长.互联网金融安全技术工业和信息化部重点实验室主任.国家互联网金融安全术专家委员会秘书长吴震教授出席并分享"区块链的监管与安全技术初探". 他认为区块链有四个研究方向,区块链的底层技术:区块链的应用:区块链的监管: 区块链的安全 .而他们的重点在后两部分监管和安全,具体表现在,在态势感知和预警.交易追踪技术,非法币种发现,区块链安全分析. 以下是演讲实录,雷锋网作了不改变原意的编辑:

Swagger 高危漏洞影响 Java、PHP 和 Ruby等语言

广泛使用的Swagger规格(今 年初重命名为OpenAPI)发现了高危漏洞,潜在影响到了Java.PHP.NodeJS和 Ruby等流行语言开发的应用.该漏洞允许攻击者远程执行代码,存在于Swagger Code Generator中,属于参数注入漏洞,允许攻击者在Swagger JSON文件中嵌入代码,使用Java.PHP.NodeJS和 Ruby等语言开发的Web应用如果整合了 Swagger API会受到影响.Rapid7研究人员公开了漏洞的技术细节和补丁,该漏洞早在4月就在私下披露过了

游戏安全资讯精选 2017年第十期 英国彩票网遭遇DDoS攻击,中断90分钟 DNSMASQ多高危漏洞公告 阿里云协助警方破获国内最大黑客攻击案,攻击峰值690G

[本周游戏行业DDoS攻击态势] 国庆期间,针对游戏行业的DDoS攻击放缓,攻击者也在放"小长假",10月8日超过500G的攻击可视作攻击猛烈度恢复的表现. [游戏安全动态] 英国彩票网遭遇DDoS攻击,中断90分钟 点击查看原文 点评:10月7日,英国彩票网遭遇DDoS攻击,持续90分钟,造成大量的现金损失.攻击者在访问流量最高的周六瞄准英国最大的彩票网,可以预测是早有预谋.目前,官方还没有确认这起攻击是否与赎金有关,或者可能是经后更大攻击来袭的"前兆",也有可能

把老婆训练成女黑客的漏洞大神黄正|宅客故事

       本期故事男主角  黄正 百度安全实验室 X-Team 实验室负责人.微软 MSRC Top 100 榜单排名第 8 的白帽子 乌泱乌泱的人每天从西二旗地铁.后厂村路涌进这里. 每个人,都有一个故事. 二十多年前,有个少年站在湖南郴州的农田田埂上,牵着一头老黄牛,泥土散发着芬芳,少年深深吸了一口气.当时,他并不知道,多年后他与距离家乡1700 多公里的北京会发生什么故事. 少年并不排斥乡村的一切,相反,他对大自然的这份亲近与依恋深深印刻在心中.上一辈辛苦劳作一生,改变命运的希冀与少年

加密软件 VeraCrypt 审计报告公布,发现多个高危漏洞

在 DuckDuckGo 和 VikingVPN 的资助下,QuarksLab 最近对开源加密软件 VeraCrypt 进行了安全审计.此次审计发现了 8个高危漏洞和 10 多个中低级别的漏洞. 关于VeraCrypt VeraCrypt 是一款非常流行的磁盘加密软件,它基于 TrueCrypt 7.1a 开发(在 2014 年 TrueCrypt 突然关闭之后才启动的这个项目),因此可以把它看成是 TrueCrypt 的分支 .在 TrueCrypt 停用之后,VeraCrypt 接过了 Tr

黑客围城:P2P高危漏洞占56% 创业者自曝被黑客敲诈经历

今年上半年,全国金融行业(含互联网金融)安全漏洞总量同比增长181.9%.根据中国权威第三方漏洞监测平台乌云网从2014年至2015年8月对P2P行业漏洞数量统计显示,高危漏洞占56.2%,中危漏洞占23.4%,低危漏洞占12.3%,其中8.1%被厂商忽略.除了系统安全漏洞,黑客攻击技术的升级仍然是网络安全最大的隐患. "中国P2P网贷成为网络安全的重灾区."中央财经大学金融学院教授郭田勇在接受<法制日报>记者采访时说. 2016年5月18日,全球最大黑客组织匿名者(Ano

白帽黑客发现上帝模式共享服务器数据库漏洞

本文讲的是白帽黑客发现上帝模式共享服务器数据库漏洞,MySQL.MariaDB和Percona的服务器及XtraDB集群发现危险新漏洞,只要联动使用,共享环境中的攻击者可获取服务器完整控制权. 数据库服务器恐怕是世界上最流行的物件了,所有主流科技巨头都是它们的客户,包括谷歌.Facebook.推特.eBay.思科.亚马逊.Netflix等等等等. Legalhackers的白帽黑客达吾德·古伦斯基称,他发现并秘密报告给厂商以修复的竞态条件漏洞(CVE-2016-6663)存在于MySQL.Mar