4000-110-253
Firefox曝出可远程代码执行的零日漏洞. 2019-07-12
Mozilla在本周发布Firefox的安全公告时指出,Firefox出现了可让骇客远程执行恶意代码的重大漏洞。需要注意的是,此漏洞利用攻击程序已在互联网中出现,呈现较大威胁,因此建议广大使用者尽快升级到最新版本。
据悉,此编号为CVE-2019-11707的漏洞是由Google安全团队Project Zero研究人员Samuel Gro发现的。它属于一种类型混淆(Type confusion)漏洞,当攻击者变更JavaScript组件,可能导致Array.pop发生类型混淆,而允许代码执行。一旦Firefox使用者被导向恶意网站,就可能让骇客远程执行任意代码。
这项漏洞被列为重要风险,影响覆盖Firefox及Firefox ESR版本的浏览器。现在Mozilla表示已经发现有攻击程序开始利用此漏洞展开精准打击。由于通报者还包括加密货币交易平台Coinbase的安全团队,表示这批骇客的攻击目标是加密货币持有者。
如今Mozilla已经发布了最新的Firefox 67.0.3及Firefox ESR 60.7.1来修补此漏洞,因此建议广大使用者尽快将相关浏览器升级至最新。
