发布编号：TACERT-ANA-2022052604055252

发布时间：2022-05-26 16:16:53

事故类型：ANA-漏洞预警

发现时间：2022-05-26 16:16:53

影响等级：低

 

[主旨说明:]

【漏洞预警】Firefox修补恶意JavaScript执行的重大漏洞（CVE-2022-1802 、CVE-2022-1529）

 

[内容说明:]

 

转发 科学园区资安资讯分享与分析中心 SPISAC-ANA-202205-0011

Mozilla上周释出安全更新公告，以修补桌机、手机版浏览器及邮件软件Thunderbird中2个可执行恶意JavaScript重大风险漏洞。

两个漏洞中，CVE-2022-1802为Top-Level Await实作中的原型链污染（prototype pollution）漏洞。如果攻击者可透过原型链污染破坏JavaScript中Array物件的方法（methods），就能取得权限执行程式码。CVE-2022-1529则允许攻击者传送方法讯息到主行程查询JavaScript物件索引，导到原型链污染，结果是攻击者控制的JavaScript可以在具权限的主行程中执行。

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

 

[影响平台:]

● Firefox 100.0.2以前版本

● Firefox ESR 91.9.1以前版本

● Firefox for Android 100.3以前版本

● Thunderbird 91.9.1以前版本

 

[建议措施:]

请更新至以下版本：

● Firefox 100.0.2版

● Firefox ESR 91.9.1版

● Firefox for Android 100.3版

● Thunderbird 91.9.1版

 

[参考资料:]

1. Firefox桌机、手机版更新修补可致恶意JavaScript执行的重大漏洞

2. https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw