用来紧迫修复最新发掘的 0day 漏洞,火狐浏览器出现可让骇客远端实践恶意代码的主要漏洞

Mozilla周二发布火狐浏览器的安全公告,火狐浏览器出现可让黑客远端执行恶意代码的重大漏洞,同时也发现网路上已有攻击程序流传,呼吁用户尽速升级到最新版本。

Mozilla 发布了 Firefox 67.0.3 和 Firefox ESR 60.7.1
版本,用于紧急修复最新发现的 0day 漏洞。

编号CVE-2019-11707的漏洞是由Google抓虫小组Project Zero研究人员Samuel
Groß发现。它属于一种类型混淆(Type
confusion)漏洞,当攻击者改造JavaScript物件,可能导致Array.pop发生类型混淆,而允许代码执行。一旦火狐浏览器使用者被导向恶意网站,可能让黑客得以远端执行任意程式码。

安全公告中的完整描述如下:

足球买球网站 1

由于 Array.pop 中的问题,操作 JavaScript
对象时可能会出现类型混淆漏洞。这可能导致可利用的崩溃。我们意识到已经有针对性的攻击滥用这个漏洞。

这项漏洞被列为重大风险,影响火狐浏览器及火狐浏览器
ESR版本浏览器。Mozilla并表示已经发现有攻击程序开采这项漏洞发动精准攻击。由于通报者还包括加密货币交易平台Coinbase的安全小组,可能表示这波黑客攻击下手目标是加密货币持有者。

也就是说,该漏洞能够让黑客操纵 JavaScript
代码诱骗用户访问,并将恶意代码部署到他们的 PC 上。

Mozilla已经释出最新火狐浏览器 67.0.3及火狐浏览器 ESR
60.7.1修补本漏洞,呼吁用户尽速升级到最新版本。

足球买球网站 2

资料来源:iThome Security

足球买球网站,该漏洞由 Google Project Zero 安全研究团队的 Samuel Groß 发现并报告,编号
CVE-2019-11707,安全等级为“严重”。甚至美国网络安全和基础设施安全局也已经参与传播有关补丁的信息。

有报道称可能有黑客利用这个漏洞进行攻击,获取加密货币。但除了
Mozilla
网站上发布的简短描述之外,没有关于此安全漏洞或持续攻击的其他详细信息。

以注重安全和隐私著称的 Firefox 出现 0day 漏洞是非常罕见的,Mozilla
团队最后一次修补 Firefox 0day 还是在 2016 年 12 月。

目前,Mozilla
安全委员会提醒所有
Firefox 用户尽快升级到最新版本,以避免遭受攻击。

(文/开源中国)    

相关文章

This entry was posted in 编辑推荐 and tagged , . Bookmark the permalink.

发表评论

电子邮件地址不会被公开。 必填项已用*标注