3月18日，全球顶级黑客大赛Pwn2Own2015在加拿大温哥华拉开战幕，各路大神各显神通，Mariusz Mlynski在极短的时间内攻破了火狐浏览器，获得30000美元的巨额奖金。而Mozilla官方在比赛结束之后立即开发补丁，于昨天发布的Firefox 36中修复了此次比赛中公布的2个高危漏洞。

漏洞一

Mozilla定义第一个漏洞为代码执行漏洞。根据安全研究人员ilxu1a的报告，火狐浏览器JavaScrip‍‍t just-in-time compilation (JIT)特性中存在漏洞，该漏‍‍洞可被利用于重新读写存储器上的内容，进而在本地系统上执行任意代码。

漏洞二

第二个漏洞是一高危权限提升漏洞，由Mariusz Mlynski发现，编号CVE-2015-0818。

浏览器在处理SVG格式文件的过程中，攻击者可以利用该漏洞绕过同源策略的防护，从而在特权文本中执行任意脚本。

Mlynski在542秒内成功拿下了火狐浏览器，并获得了30000美元的现金奖励。

影响范围

Firefox 36之前的版本、Firefox ESR31.5.2之前的版本、SeaMonkey 2.33.1之前的版本

建议火狐用户尽快将浏览器更新到Firefox 36版本。

[参考来源securityweek，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）]