安全预警 ——Firefox远程代码执行漏洞

1   漏洞描述

Mozilla Firefox，中文俗称“火狐”，是一个自由及开放源代码的网页浏览器，使用Gecko排版引擎，支持多种操作系统，如Windows、Mac OS X及GNU/Linux等。该浏览器提供了两种版本，普通版和ESR（延长支持）版，ESR版本是Mozilla专门为那些无法或不愿每隔六周就升级一次的企业打造。Firefox ESR 版的升级周期为 42周，普通 Firefox 的升级周期为 6 周。

近日，互联网爆出Firefox存在远程代码执行漏洞（CVE-2019-11708）。该漏洞是由于Array.pop中的问题，操作JavaScript对象时可能会出现类型混淆漏洞。利用该漏洞，攻击者可误导目标用户访问恶意网站，并在该网站中植入漏洞攻击代码，最终获得在目标用户终端设备远程执行任意代码的权限，从而控制目标用户的终端设备。该漏洞危害程度为 高危(High) 。目前，该漏洞已经被攻击者用于发起定向攻击，厂商已发布新版本修复此漏洞。

2   影响范围

受影响版本：

Firefox< 67.0.3

Firefox ESR < 60.7.1

3  修复建议

目前，Mozilla厂商已发布新版本修复此漏洞，建议用户立即升级至最新版本：

1)适用于Windows 64位的Firefox 67.0.3

https://download.mozilla.org/?product=firefox-latest-ssl&os=win64&lang=en-US

2)Firefox67.0.3for Windows 32位

https://download.mozilla.org/?product=firefox-latest-ssl&os=win&lang=en-US

3)适用于macOS的Firefox 67.0.3

https://download.mozilla.org/?product=firefox-latest-ssl&os=linux64&lang=en-US

4)Firefox67.0.3for Linux 64位

https://download.mozilla.org/?product=firefox-latest-ssl&os=win64&lang=en-US

5)Firefox67.0.3for Linux 32位

https://download.mozilla.org/?product=firefox-latest-ssl&os=linux&lang=en-US