信息化觀察網(wǎng)

Mozilla 發(fā)布了 Firefox 67.0.3 和 Firefox ESR 60.7.1 版本，用于緊急修復最新發(fā)現(xiàn)的 0day 漏洞。

安全公告中的完整描述如下：

由于 Array.pop 中的問題，操作 JavaScript 對象時可能會出現(xiàn)類型混淆漏洞。這可能導致可利用的崩潰。我們意識到已經(jīng)有針對性的攻擊濫用這個漏洞。

簡單來說就是，該漏洞能夠讓黑客操縱 JavaScript 代碼誘騙用戶訪問，并將惡意代碼部署到他們的 PC 上。

該漏洞由 Google Project Zero 安全研究團隊的 Samuel Gro? 發(fā)現(xiàn)并報告，編號 CVE-2019-11707，安全等級為“嚴重”。甚至美國網(wǎng)絡安全和基礎設施安全局也已經(jīng)參與傳播有關補丁的信息。

有報道稱可能有黑客利用這個漏洞進行攻擊，獲取加密貨幣。但除了 Mozilla 網(wǎng)站上發(fā)布的簡短描述之外，沒有關于此安全漏洞或持續(xù)攻擊的其他詳細信息。

以注重安全和隱私著稱的 Firefox 出現(xiàn) 0day 漏洞是非常罕見的，Mozilla 團隊最后一次修補 Firefox 0day 還是在 2016 年 12 月。

目前， Mozilla 安全委員會提醒所有 Firefox 用戶盡快升級到最新版本，以避免遭受攻擊。