火狐浏览器紧急修复详情不明但已遭利用的 0day
编译:奇安信代码卫士团队
Mozilla 发布火狐 67.0.3 和火狐 ESR 60.7.1 版本,修复一个已遭利用的严重漏洞,可导致攻击者在运行易受攻击火狐版本的机器上执行任意代码。
Mozilla 发布安全通告表示,火狐开发人员“意识到在野存在滥用该缺陷的目标攻击”,可导致利用该漏洞的攻击者控制受影响系统。
火狐和火狐 ESR 0day 缺陷是由谷歌 Project Zero 团队的研究员 Samuel Groß和Coinbase 安全团队发现的。
该 0day 漏洞是一个类型混淆漏洞,编号为 CVE-2019-11707,“由于 Array.pop 中存在问题,当操纵 JavaScript 对象”时就会产生。攻击者可欺骗使用未修复火狐浏览器版本的用户访问一个恶意构造的网页且之后在系统上执行任意代码的方式触发该类型混淆漏洞。
美国网络安全和基础设施安全局 (CISA) 也发布警报,建议用户“查看Mozilla 发布的火狐 67.0.3 和火狐 ESR 60.7.1 安全通告并应用必要的更新。”
虽然尚未出现和该缺陷相关的其它信息,但根据报告该漏洞的研究人员,我们可以认为该缺陷被用于攻击密币所有人。建议所有用户都通过Mozilla网站链接 (https:// download.mozilla.org) 安装已修复的火狐浏览器版本。
并非首个浏览器 0day
这并非获得紧急修复方案的首个火狐浏览器 0day。2016年,Mozilla 发布火狐50.0.2和45.5.1 ESR 修复了另外一个 0day,而 Tor 项目组发布Tor 浏览器 6.0.7 修复同样问题。当时,该漏洞遭攻击者用于去匿名化 Tor 浏览器用户并收集用户信息如 IP 地址、MAC地址和主机名。
3月初,谷歌发布 Chrome 72.0.3626.121 版本,修复0day 漏洞并警告称该漏洞已遭利用。该漏洞编号为 CVE-2019-5786,是一个存在于浏览器 FileReader API 只不过的高危释放后使用漏洞。该API旨在允许浏览器访问并读取本地存储的文件。
微软还在2018年12月发布带外安全更新,修复一个已遭利用的 IE 远程代码执行漏洞,它是由谷歌威胁分析团队发现的。
原文链接
https://www.bleepingcomputer.com/news/security/mozilla-firefox-6703-patches-actively-exploited-zero-day/
https://www.zdnet.com/article/mozilla-patches-firefox-zero-day-abused-in-the-wild/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。