firefox 曝出0day，请尽快更新！

近日， Mozilla 发布了 Firefox 67.0.3 和 Firefox ESR 60.7.1 版本，用于紧急修复最新发现的 0day 漏洞。

安全公告中的完整描述如下：由于 Array.pop 中的问题，操作 JavaScript 对象时可能会出现类型混淆漏洞。这可能导致可利用的崩溃。我们意识到已经有针对性的攻击滥用这个漏洞。

漏洞影响

该漏洞由  Google Project Zero  安全研究团队的 Samuel Groß 发现并报告，编号 CVE-2019-11707，安全等级为“严重”， 能够让黑客操纵 JavaScript 代码诱骗用户访问，并将恶意代码部署到他们的 PC 上， 甚至美国网络安全和基础设施安全局也已经参与传播有关补丁的信息。

有报道称可能有黑客利用这个漏洞进行攻击，获取加密货币。但除了 Mozilla 网站上发布的简短描述之外，没有关于此安全漏洞或持续攻击的其他详细信息。

由于该远程代码执行漏洞存在与火狐除最新外的所有版本中，因此浏览器若没有开启自动更 新或者在内网运行的情况下，影响巨大。 目前该漏洞没有公开的利用代码，但据可靠消息已经被用于真实的定向攻击，漏洞利用代码 扩散并被用于大规模攻击的可能性极高，请务必重视。

firefox 隐私安全

Mozilla Firefox 和F irefox ESR 都是美国 Mozilla 基金会开发的浏览器产品。Firefox是一款开源Web浏览器； Firefox ESR 是 Firefox 的一个延长支持版本， 提供长达1年的支持服务，不同于快速开发周期，ESR版本每六周更新不会有新功能加入和性能加强，仅会有安全性更新和重大稳定性修复，直到ESR一年周期结束。

以注重安全和隐私著称的 Firefox 出现 0day 漏洞是非常罕见的， Mozilla 团队最后一次修补 Firefox 0day 还是在 2016 年 12 月。

目前， Mozilla 安全委员会提醒所有 Firefox 用户尽快升级到最新版本，以避免遭受攻击。

来源： cnbeta、腾讯云鼎实验室

:warning: 注意

2019 看雪安全开发者峰会门票正在热售中！

长按识别下方 二维码 ， 即可享受  2.5折  优惠！

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

点击阅读原文，了解更多！