MozillaVPN macOS权限提升逻辑漏洞分析

本文详细分析了MozillaVPN在macOS系统中存在的权限提升漏洞,攻击者可通过安装过程中的符号链接绕过安全机制获取root权限。该漏洞已被修复于2.24版本。

MozillaVPN:通过逻辑漏洞实现权限提升

漏洞摘要

此漏洞是对先前已修复问题#2261577的绕过利用。攻击者在macOS安装过程中使用符号链接,使得非特权攻击者能够获得root权限。该漏洞已在Mozilla VPN 2.24版本中修复。

时间线

  • 2024年8月28日 14:48 UTC - northsea向Mozilla提交漏洞报告
  • 2024年8月28日 14:49 UTC - northsea更新漏洞信息
  • 2024年8月29日 11:07 UTC - Mozilla员工frida-k将状态改为"已分类"
  • 2024年9月12日 15:26 UTC - Mozilla向northsea发放赏金
  • 2024年9月12日 15:40 UTC - northsea发表评论
  • 2024年10月28日 17:22 UTC - Mozilla员工frida-k将状态改为"重新测试"
  • 2024年11月1日 15:00 UTC - northsea完成重新测试
  • 2024年11月1日 15:32 UTC - Mozilla确认重新测试完成
  • 2024年11月1日 15:32 UTC - Mozilla员工frida-k关闭报告并将状态改为"已解决"
  • 2024年11月28日 15:34 UTC - Mozilla员工frida-k修改弱点分类
  • 2025年6月3日 13:34 UTC - Mozilla员工frida-k请求披露此报告
  • 2025年7月3日 09:01 UTC - Mozilla锁定此报告
  • 2025年7月3日 13:34 UTC - 报告已披露

报告详情

  • 报告时间: 2024年8月28日 14:48 UTC
  • 报告者: northsea
  • 报告对象: Mozilla
  • 报告ID: #2686750
  • 状态: 已解决
  • 严重程度: 中等 (4 ~ 6.9)
  • 披露时间: 2025年7月3日 13:34 UTC
  • 弱点类型: 文件访问前的链接解析不当(‘链接跟随’)
  • CVE ID: 无
  • 赏金: 隐藏
  • 账户详情: 无
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次