Các lỗ hổng này bị khai thác và báo cáo trong cuộc thi Pwn2Own Vancouver 2024. Manfred Paul (@_manfp) là người đã giành được giải thưởng trị giá 100.000 đô la và 10 điểm Master of Pwn sau khi tìm ra lỗ hổng ghi ngoài giới hạn (out-of-bounds) CVE-2024-29943 cho phép thực thi mã từ xa và thoát khỏi cơ chế bảo mật của trình duyệt của Firefox bằng cách sử dụng một lỗ hổng khác là CVE-2024-29944.
Lỗ hổng đầu tiên là CVE-2024-29943 có thể cho phép kẻ tấn công đọc hoặc ghi ngoài giới hạn trên một đối tượng JavaScript bằng cách đánh lừa việc loại bỏ kiểm tra giới hạn dựa trên phạm vi.
Lỗ hổng thứ hai là CVE-2024-29944 liên quan đến việc thực thi JavaScript đặc quyền thông qua cơ chế xử lý sự kiện (event handlers), cho phép kẻ tấn công thực thi mã tùy ý trong quy trình gốc của trình duyệt web Firefox Desktop.
Hiện Mozilla đã giải quyết các lỗ hổng trên trong phiên bản Firefox 124.0.1 và Firefox ESR 115.9.1 để ngăn chặn các cuộc tấn công thực thi mã từ xa nhắm vào các trình duyệt web chưa được vá trên thiết bị máy tính để bàn.
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment