MozillaVPN macOS权限提升漏洞分析:符号链接逻辑绕过漏洞

本文详细分析了MozillaVPN在macOS系统中存在的权限提升漏洞,攻击者可通过创建符号链接在安装过程中获得root权限。该漏洞是之前已修复问题的绕过,已在2.24版本中修复。

MozillaVPN:通过逻辑漏洞实现权限提升

漏洞摘要

此漏洞是对先前已修复问题(报告编号#2261577)的绕过利用。攻击者在macOS安装过程中使用符号链接,使得非特权攻击者能够获得root权限。该漏洞已在MozillaVPN 2.24版本中修复。

时间线

  • 2024年8月28日 14:48 UTC - northsea向Mozilla提交漏洞报告
  • 2024年8月28日 14:49 UTC - northsea更新漏洞信息
  • 2024年8月29日 11:07 UTC - Mozilla员工frida-k将状态改为"已分类"
  • 2024年9月12日 15:26 UTC - Mozilla向northsea发放赏金
  • 2024年9月12日 15:40 UTC - northsea发表评论
  • 2024年10月28日 17:22 UTC - Mozilla员工frida-k将状态改为"重新测试"
  • 2024年11月1日 15:00 UTC - northsea完成重新测试
  • 2024年11月1日 15:32 UTC - Mozilla确认重新测试完成
  • 2024年11月1日 15:32 UTC - Mozilla员工frida-k关闭报告并将状态改为"已解决"
  • 2024年11月28日 15:34 UTC - Mozilla员工frida-k修改弱点分类
  • 2025年6月3日 13:34 UTC - Mozilla员工frida-k请求披露此报告
  • 13天前 - Mozilla锁定此报告
  • 13天前 - 此报告已被披露

报告详情

报告时间: 2024年8月28日 14:48 UTC
报告者: northsea
报告对象: Mozilla
状态: 已解决
严重程度: 中等(4 ~ 6.9)
披露时间: 2025年7月3日 13:34 UTC
弱点类型: 文件访问前不当链接解析(‘链接跟随’)
CVE ID: 无
赏金: 隐藏
账户详情: 无

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次