信息來源:hackernews
Mozilla 發(fā)布了 Firefox 67.0.3 和 Firefox ESR 60.7.1 版本,用于緊急修復(fù)最新發(fā)現(xiàn)的 0day 漏洞。
安全公告中的完整描述如下:
由于 Array.pop 中的問題,操作 JavaScript 對(duì)象時(shí)可能會(huì)出現(xiàn)類型混淆漏洞。這可能導(dǎo)致可利用的崩潰。我們意識(shí)到已經(jīng)有針對(duì)性的攻擊濫用這個(gè)漏洞。
也就是說,該漏洞能夠讓黑客操縱 JavaScript 代碼誘騙用戶訪問,并將惡意代碼部署到他們的 PC 上。
該漏洞由 Google Project Zero 安全研究團(tuán)隊(duì)的 Samuel Gro? 發(fā)現(xiàn)并報(bào)告,編號(hào) CVE-2019-11707,安全等級(jí)為“嚴(yán)重”。甚至美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局也已經(jīng)參與傳播有關(guān)補(bǔ)丁的信息。
有報(bào)道稱可能有黑客利用這個(gè)漏洞進(jìn)行攻擊,獲取加密貨幣。但除了 Mozilla 網(wǎng)站上發(fā)布的簡(jiǎn)短描述之外,沒有關(guān)于此安全漏洞或持續(xù)攻擊的其他詳細(xì)信息。
以注重安全和隱私著稱的 Firefox 出現(xiàn) 0day 漏洞是非常罕見的,Mozilla 團(tuán)隊(duì)最后一次修補(bǔ) Firefox 0day 還是在 2016 年 12 月。
目前, Mozilla 安全委員會(huì)提醒所有 Firefox 用戶盡快升級(jí)到最新版本,以避免遭受攻擊。