火狐浏览器爆在野利用0day,官方紧急更新修复

栏目: 编程工具 · 发布时间: 5年前

内容简介:Mozilla 发布火狐 67.0.3 和火狐 ESR 60.7.1 版本,修复一个已遭利用的严重漏洞,可导致攻击者在运行易受攻击火狐版本的机器上执行任意代码。Mozilla 发布安全通告表示,火狐开发人员“意识到在野存在滥用该缺陷的目标攻击”,可导致利用该漏洞的攻击者控制受影响系统。火狐和火狐 ESR 0day 缺陷是由谷歌 Project Zero 团队的研究员 Samuel Groß和Coinbase 安全团队发现的。

Mozilla 发布火狐 67.0.3 和火狐 ESR 60.7.1 版本,修复一个已遭利用的严重漏洞,可导致攻击者在运行易受攻击火狐版本的机器上执行任意代码。

Mozilla 发布安全通告表示,火狐开发人员“意识到在野存在滥用该缺陷的目标攻击”,可导致利用该漏洞的攻击者控制受影响系统。

火狐和火狐 ESR 0day 缺陷是由谷歌 Project Zero 团队的研究员 Samuel Groß和Coinbase 安全团队发现的。

该 0day 漏洞是一个类型混淆漏洞,编号为 CVE-2019-11707,“由于 Array.pop 中存在问题,当操纵 JavaScript 对象”时就会产生。攻击者可欺骗使用未修复火狐浏览器版本的用户访问一个恶意构造的网页且之后在系统上执行任意代码的方式触发该类型混淆漏洞。

美国网络安全和基础设施安全局 (CISA) 也发布警报,建议用户“查看Mozilla 发布的火狐 67.0.3 和火狐 ESR 60.7.1 安全通告并应用必要的更新。”

虽然尚未出现和该缺陷相关的其它信息,但根据报告该漏洞的研究人员,我们可以认为该缺陷被用于攻击密币所有人。建议所有用户都通过Mozilla网站链接 (https://download.mozilla.org) 安装已修复的火狐浏览器版本。

并非首个浏览器 0day

这并非获得紧急修复方案的首个火狐浏览器 0day。2016年,Mozilla 发布火狐50.0.2和45.5.1 ESR 修复了另外一个 0day,而 Tor 项目组发布Tor 浏览器 6.0.7 修复同样问题。当时,该漏洞遭攻击者用于去匿名化 Tor 浏览器用户并收集用户信息如 IP 地址、MAC地址和主机名。

3月初,谷歌发布 Chrome 72.0.3626.121 版本,修复0day 漏洞并警告称该漏洞已遭利用。该漏洞编号为 CVE-2019-5786,是一个存在于浏览器 FileReader API 只不过的高危释放后使用漏洞。该API旨在允许浏览器访问并读取本地存储的文件。

微软还在2018年12月发布带外安全更新,修复一个已遭利用的 IE 远程代码执行漏洞,它是由谷歌威胁分析团队发现的。

原文链接

https://www.bleepingcomputer.com/news/security/mozilla-firefox-6703-patches-actively-exploited-zero-day/

https://www.zdnet.com/article/mozilla-patches-firefox-zero-day-abused-in-the-wild/

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Maven实战

Maven实战

许晓斌 / 机械工业出版社 / 2010年12月 / 65.00元

你是否早已厌倦了日复一日的手工构建工作?你是否对各个项目风格迥异的构建系统感到恐惧?Maven——这一Java社区事实标准的项目管理工具,能帮你从琐碎的手工劳动中解脱出来,帮你规范整个组织的构建系统。不仅如此,它还有依赖管理、自动生成项目站点等超酷的特性,已经有无数的开源项目使用它来构建项目并促进团队交流,每天都有数以万计的开发者在访问中央仓库以获取他们需要的依赖。 本书内容全面而系统,Ma......一起来看看 《Maven实战》 这本书的介绍吧!

URL 编码/解码
URL 编码/解码

URL 编码/解码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具