Firefox 出現可讓駭客遠端執行惡意程式碼的重大漏洞,目前已出現攻擊程式,Mozilla 呼籲用戶儘速升級到最新版本 Firefox 67.0.3/ESR 60.7.1。
Mozilla 周二發佈 Firefox 的安全公告,Firefox 出現可讓駭客遠端執行惡意程式碼的重大漏洞,同時也發現網路上已有攻擊程式流傳,呼籲用戶儘速升級到最新版本。
編號 CVE-2019-11707 的漏洞是由 Google 抓蟲小組 Project Zero 研究人員 Samuel Groß 發現。它屬於一種類型混淆(Type confusion)漏洞,當攻擊者改造 JavaScript 物件,可能導致 Array.pop 發生類型混淆,而允許程式碼執行。一旦 Firefox 使用者被導向惡意網站,可能讓駭客得以遠端執行任意程式碼。
這項漏洞被列為重大(critical)風險,影響 Firefox 及 Firefox ESR 版本瀏覽器。Mozilla 並表示已經發現有攻擊程式開採這項漏洞發動精準攻擊。由於通報者還包括加密貨幣交易平台 Coinbase 的資安小組,可能表示這波駭客攻擊下手目標是加密貨幣持有者。
Mozilla 已經釋出最新 Firefox 67.0.3 及 Firefox ESR 60.7.1 修補本漏洞,呼籲用戶儘速升級到最新版本。