MozillaVPN权限提升漏洞:macOS安装过程中的逻辑缺陷

本文详细分析了MozillaVPN在macOS安装过程中存在的逻辑漏洞,攻击者可通过符号链接绕过安全机制获得root权限。该漏洞已被修复于2.24版本,涉及中等严重性的权限提升风险。

MozillaVPN:通过逻辑漏洞实现权限提升

漏洞摘要

此漏洞是对先前已修复问题#2261577的绕过利用。攻击者在macOS安装过程中使用符号链接,使得非特权攻击者能够获得root权限。该漏洞已在MozillaVPN 2.24版本中修复。

时间线

  • 2024年8月28日 14:48 UTC
    northsea向Mozilla提交漏洞报告

  • 2024年8月28日 14:49 UTC
    northsea更新漏洞信息

  • 2024年8月29日 11:07 UTC
    Mozilla员工frida-k将状态改为"已分类"

  • 2024年9月12日 15:26 UTC
    Mozilla向northsea发放赏金

  • 2024年9月12日 15:40 UTC
    northsea发表评论

  • 2024年10月28日 17:22 UTC
    Mozilla员工frida-k将状态改为"重新测试"

  • 2024年11月1日 15:00 UTC
    northsea完成重新测试

  • 2024年11月1日 15:32 UTC
    Mozilla确认重新测试完成

  • 2024年11月1日 15:32 UTC
    Mozilla员工frida-k关闭报告并将状态改为"已解决"

  • 2024年11月28日 15:34 UTC
    Mozilla员工frida-k修改弱点类型

  • 2025年6月3日 13:34 UTC
    Mozilla员工frida-k请求披露此报告

  • 2025年7月3日 09:01 UTC
    Mozilla锁定此报告

  • 2025年7月3日 13:34 UTC
    报告已披露

漏洞详情

报告时间:2024年8月28日 14:48 UTC
报告者:northsea
报告对象:Mozilla
报告ID:#2686750
状态:已解决
严重程度:中等(4~6.9)
披露时间:2025年7月3日 13:34 UTC
弱点类型:文件访问前链接解析不当(‘链接跟随’)
CVE ID:无
赏金:隐藏
账户详情:无

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次